Hi,

ich habe ein Problem mit einer Toolbar, mitten auf meinem Desktop.
(gambling,dating,pharmacy,xxx,spyware,insuransce)
Ich bekomme das Ding nicht weg, bitte schaut Euch einmal mein Log an.
Ich finde langsam ist mein Pc auch geworden.

Logfile of HijackThis v1.99.1
Scan saved at 20:50:12, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\DOKUME~1\JAZZMA~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Konfabulator.lnk = C:\Programme\Konfabulator\Konfabulator.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121117949513
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124196746093
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21D91EE5-6774-4214-B896-A20F833F74FB}: NameServer = 85.255.113.118,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5E0F524-BC85-4640-BE1F-F8523336637B}: NameServer = 85.255.113.118,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2918F6-1FB1-4CD9-A63F-7C587FAC28E0}: NameServer = 85.255.113.118,85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{21D91EE5-6774-4214-B896-A20F833F74FB}: NameServer = 85.255.113.118,85.255.112.100
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Wäre toll wenn Ihr mir helfen könntet (Hoffentlich nicht zu kompliziert
Vielen Dank Jazz

Im Anhang findet Ihr ein Bild von meinem Desktop

@jazzzmatazz
lasse diese datei C:\Program Files\Media Gateway\MediaGateway.exe
hier online überprüfen:jotti
und poste das ergebnis


chaosman

@chaosman

musst ihm auch sagen wo er online untersuchen lassen soll...

Erst einmal danke für die Antwort.
Habe ich das richtig verstanden, ich gehen einfach auf:
http://virusscan.jotti.org/de/

und lade die erwähnte Datei hoch ?

Vielen Dank
jazz

Ganz genau,du folgst den blau unterlegtem Link von Chaosman den Hörni nicht sehen kann....

Die Datei:
C:\Program Files\Media Gateway\MediaGateway.exe
gibt es leider nicht unter C:\Program Files

Habe gerstern noch einmal Spybot durchlaufen lassen,
vielleicht hat Sie entfernt?

Also noch einmal der log von heute:

Logfile of HijackThis v1.99.1
Scan saved at 18:53:35, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\JAZZMA~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Konfabulator.lnk = C:\Programme\Konfabulator\Konfabulator.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121117949513
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124196746093
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21D91EE5-6774-4214-B896-A20F833F74FB}: NameServer = 85.255.113.118,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5E0F524-BC85-4640-BE1F-F8523336637B}: NameServer = 85.255.113.118,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2918F6-1FB1-4CD9-A63F-7C587FAC28E0}: NameServer = 85.255.113.118,85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{21D91EE5-6774-4214-B896-A20F833F74FB}: NameServer = 85.255.113.118,85.255.112.100
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE

Danke,
jazz

Hallo jazzmatazz,
da isse noch :
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
Such mal in Software,wenn nicht vorhanden im Explorer Ordneroptionen "geschützte Systemdateien ausblenden" Haken raus und in "versteckte Dateien und Ordner,Haken rein bei alle anzeigen.Dann erneut auf die Suche gehen.
Irrlicht

Oh jetzt sehe ich auch:
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

Aber das Programm ist nicht unter Systemsteuerung/Software zu finden.
Auch der Explorer zeigt die exe nicht an.
Ich habe wie beschrieben unter:
Extras
Ordneroptionen
Ansicht
Alle Dateien und Ordner zeigen angewähltund übernommen.
Das einzige was mir im Ordner Media Gateway angezeigt wird ist eine Text Datei:

Media Gateway is free ad delivery software which provides targeted advertising offers.


How did Media Gateway get installed on your computer?
----------------------------------------------------
You downloaded Media Gateway from a Website that is able to offer its content for free because
it shows the Media Gateway ActiveX popup. The Media Gateway program is installed only once the user
has agreed on it by clicking on “yes”. Through the ActiveX, the user can review the license terms
and privacy policy before installing the software. Each and every distributor is carefully reviewed
to make sure that their distribution techniques abide by a strict code of conduct.

If you do not remember having seen an ActiveX prompt, you might have downloaded Media Gateway from a
popular free software product (screensavers, games, file sharing software, etc.). Users always will
have to opt-in before installing the Media Gateway software.


Removal instructions:
---------------------
Media Gateway supports many free software products through its advertising relevancy technology.
If you remove Media Gateway from your system, certain free software that you installed may no longer
function properly and you may have to reinstall them from a backup.

If you are sure that you want to remove Media Gateway from your computer just follow these two easy steps:

1) Click Start -> Control Panel -> Add/Remove Programs

2) Scroll to Media Gateway and click Remove


End User License Agreement:
---------------------------
Please find an up to date copy of Media Gateway's End User License Agreement at
http://www.windupdates.com/license.html

Mache ich was falsch?
Ohhhh, wie mich diese blöde Toolbar nervt

Euch vielen Dank für die Gedult.
mfg jazz

Jetzt wird es noch "Lustiger"; wenn ich den IE öffne und
in google Seiten wie Ebay, Bild.de .... egal was ich suche,
öffnet er total andere Seiten. (Börse, Singel Seiten, Lycos .....)

z.B. Wenn ich auf die Hompepage von Spiegel klicke,
merke ich richtig wie der IE zögert und dann Neckermann Online
aufmacht.

Auch die schrift von google ist auf einmal riesig.
Könnt Ihr Euch im Anhang anschauen.


jazz

Hallo,
jetzt mische ich mich doch mal ein, führe mal bitte einen Scan mit F-Secure Backlight durch und poste das log (Textdatei die nach dem Scan im selben Pfad generiert wird).



Grüße Wildone

@Wildone
Ich hoffe ich hab wonach Du gefragt hast:

01/05/06 18:55:14 [Info]: BlackLight Engine 1.0.30 initialized
01/05/06 18:55:14 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/06 18:55:14 [Note]: 7019 4
01/05/06 18:55:14 [Note]: 7005 0
01/05/06 18:55:18 [Note]: 7006 0
01/05/06 18:55:18 [Note]: 7011 1792
01/05/06 18:55:18 [Note]: 7018 1260
01/05/06 18:55:18 [Info]: Hidden process: C:\WINDOWS\system32\idemlog.exe
01/05/06 18:55:18 [Note]: FSRAW library version 1.7.1014
01/05/06 18:55:21 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\WBEM\WBEMTEST.EXE
01/05/06 18:55:21 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\CSNWX.EXE
01/05/06 18:55:21 [Note]: 7002 32
01/05/06 18:55:21 [Note]: 7003 1
01/05/06 18:55:21 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\PPPCGM.EXE
01/05/06 18:55:22 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DMXIJ.EXE
01/05/06 18:55:22 [Note]: 7002 32
01/05/06 18:55:22 [Note]: 7003 1
01/05/06 18:55:23 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\HOWIPER.EXE
01/05/06 18:55:23 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\FAVSET.EXE
01/05/06 18:55:24 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
01/05/06 18:55:25 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\FILESA~1.EXE
01/05/06 18:57:40 [Note]: 7007 0


1/05/06 18:57:52 [Info]: BlackLight Engine 1.0.30 initialized
01/05/06 18:57:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/06 18:57:52 [Note]: 7019 4
01/05/06 18:57:52 [Note]: 7005 0
01/05/06 18:57:56 [Note]: 7007 0

Ich hoffe Ihr könnt mir helfen
Vielen Dank
jazz

keiner mehr eine Idee ?
mfg jazz

Hallo kann mir keiner helfen?
mfg jazz

Hallo,
sorry, hatte dich ganz übersehen, habe aber ganz schlechte Nachrichten für dich, du hast ein Rootkit auf dem System, deswegen ist es nicht mehr vertrauenswürdig und sollte neu aufgesetzt werden.
Eine Anleitung wie du dabei vorgehen solltest damit das nicht wieder passiert findest du hier.



Grüße Wildone

Danke Dir für Deine Mühe.

Wie habe ich das Ding bekommen?
Wie rutscht das trotz Antivir, Adaware + Sypbot rein ?
Und was kann ich machen damit mir nicht gleich wieder so was fange?

mfg jazz