Bitte Prüfen.. alles komisch!!

[Andyyy]

Hallo, ich hatte den spy sheriff drauf "leider" ein anti-spy programm konnte ihn finden und löschen jedoch ?fehlgeschlagen?
wenn mein Windows hochfährt verschwindet der desktophintergrund und so eine verschiebbare weisse leiste taucht auf man kann auch keine hintergrundbilder mehr einfügen oder einstellen....
beim start des internet explorers erscheint die fehlermeldung :
C:/secure32.html wurde nicht gefunden

weiss mir nicht mehr zu helfen hoffe ihr könnt mir helfen.. danke
logfile wär dieser :

Code:

Logfile of HijackThis v1.99.1
Scan saved at 16:01:16, on 09.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Anderl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\hiasel\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8B0D5C6D-2588-44BE-8512-B51CA8C8D51B} - C:\WINDOWS\System32\clhmic.dll (file missing)
O2 - BHO: (no name) - {A8573140-DBAE-DD75-D34E-8F1D82104091} - C:\WINDOWS\System32\gobu.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Aol News] Aol.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\gjzjsbk.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\zbgqvo.exe
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe
O4 - HKLM\..\Run: [Windows secure] setver32.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [Windll] C:\WINDOWS\windll.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Aol News] Aol.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe
O4 - HKLM\..\RunServices: [Windows secure] setver32.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .avi: C:\Programme\Netscape\Communicator\Program\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\Programme\Netscape\Communicator\Program\PLUGINS\Npqtw32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101155977904
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS3\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS3\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O21 - SSODL: mtklefa - {F1E5406E-5F94-4CE7-C08F-C97AD0107A9C} - C:\WINDOWS\System32\zvvt32.dll (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

[Ruby]

Hallo Andyyy

dein System hat Totalschaden, sorry, aber es ist so. Du hast etliche Würmer mit Backdooreigenschaften auf dem Rechner, die jeder einzelne dafür sorgen, dass dein System in verschiedenen fremen Händen ist. Dein System wird von kriminellen Dritten gesteuert. Ich halte eine Reinigung bei diesem Verseuchungsgrad für aussichtslos. Ich gebe dir den Tipp, dein System so schnell wie möglich aus dem Netz zu nehmen und nach der Anleitung "System-Sicherheit" in meiner Signatur zu formatieren und neu aufzusetzen.

Du hast ein paar fremde, unbekannte Dateien auf dem Rechner, die wir gerne untersuchen möchten, um gegebenenfalls Systeme davor schützen zu können. Wir reichen solche Dateien weiter an die Hersteller von AV-Programmen. Es nützt dir in diesem fall nichts, aber anderen.

Es tut mir leid, ich kann dir dazu leider keine besseren Vorschläge machen.

kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Lade bitte diese Datei(en) hoch

C:\WINDOWS\system32\Aol.exe
C:\WINDOWS\System32\gjzjsbk.exe
C:\WINDOWS\System32\zbgqvo.exe

1. -> Upload malicious software (*)
2. -> ST-Adware-Upload (*)

(*) Wenn du zum hochladen ein Zip-Programm benötigst, SIMPLYZIP ist kostenlos.

3. Scanne >>diese<< Datei(en) mit HJT sowie mit Virustotal und/oder Jotti

C:\WINDOWS\system32\Aol.exe
C:\WINDOWS\System32\gjzjsbk.exe
C:\WINDOWS\System32\zbgqvo.exe

Melde dich und lass uns wissen, ob der Upload zu beiden Adressen (!) funktioniert hat.
Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit.

-----------------------
Lade Winpooch 0.5.7-1 runter,
den Marc hier vorgestellt hat: klick,
lass es im Autostart mitlaufen.
Es handelt sich dabei um ein Wächterprogramm, das um Genehmigung fragt,
wann immer sich ein Programm ein- oder zuschalten will.

Bitte bis zum Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
Mehr Information hierzu unter "System-Pflege"/"System-Sicherheit" (meine Signatur).
-----------------------

[Andyyyy]

ist schon bemerkenswert wie man aus dem gewirr der files sagen kann wie
es um das system bestellt ist! und man kann wirklich nichts machen?! formatieren ist für mich leider immer die letzte und unbeliebteste methode.. ;-(

[Ruby]

W32/Rbot-PZ, W32/Rbot-MD, W32.Spybot.Worm, WORM_SPYBOT.EP, W32.Gaobot.AFJ, Backdoor.Stealer, und das ist nur ein Teil dessen, was du auf deinem System hast.

Ich nehme an, du hast keine Ahnung, was Backdoors sind und können? Kurz-Info.

Auch wir betrachten es als die letzte Alternative Systeme formatieren zu lassen.

[Andyyy]

aber ist es nicht so, auch wenn ich die festplatte formatiere, dass die würmer doch nicht weggehen, weil es gibt viren die "überleben" sogar das formatieren?!?

[Ruby]

Hallo Andyyy

wenn du es richtig machst, sollte die Festplatte sauber sein.
Es gibt mindestens 2 Möglichkeiten:

1.) das Format ändern, also wenn fat32 verwendet wird, dann auf ntfs, und wurde ntfs verwendet, dann zuerst auf fat32 und dann nochmals auf ntfs umformatieren.

2.) Secure Eraser -> bitte damit die Festplatte loeschen, bevor du das neue System aufsetzt!