rundll32-Fehler, motor-search-startseite und hartnäckige pornolinks

#1 Hallo, vielleicht kann mir jemand helfen: Seit neuestem passiert wenn ich meinen PC einschalte folgendes:
1.ich bekomme drei Fehlermeldungen:

a) rundll32.exe - Abbild fehlerhaft:
Die Anwendung oder DLL C:\windows\image.dll ist keine gültige windows-Datei. Überprüfen Sie dies mit der Installationsdiskette.

b) Windows Script Host:
Skript: c.\windows\system32\rundll.vbe
Zeile: 109
Zeichen: 1
Fehler: Erlaubnis verweigert
Code: 800A0046
Quelle: Laufzeitfehler in Microsoft VBScript

c) Windows Script Host:
Skript: c.\windows\system32\rundll.vbe
Zeile: 96
Zeichen: 1
Fehler: Erlaubnis verweigert
Code: 800A0046
Quelle: Laufzeitfehler in Microsoft VBScript

2.)Auf meinem Desktop erscheinen zweifelhafte Bookmarks: Viagra Videos, Strip Poker, Sex Drugs, Home Business, Education. Die kann ich jedesmal löschen, nach Neustart sind sie wieder da.

3.) Meine Internetstartseite wird immer auf http://www.motor-search.info/ gesetzt, kann ich auch nicht löschen

4.)Ebenso werden meine Favoriten mit Müll zugeklebt: Weight Loss, Viagra, Casino Online, usw... Kann ich natürlich auch nicht löschen.

Bitte, kann mir jemand helfen? Hab's schon mit der neusten Version von AntiVir Xp versucht, der hat zwar alle möglichen Viren gefunden, aber das Problem bleibt. Hab auch Spybot drüberlaufen lassen, der findet zwar einen "possible hijacker", tötet ihn auf Befehl auch brav, aber nach dem Neustart ist er wieder da.

Also, falls mir jemand helfen kann wäre das super!!!! Danke!

#2 Hi kraemax

Führe mal folgendes aus
http://board.protecus.de/t9373.htm

poste dann bitte das HiJackThis LogFile hier

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 Alles klar, hab alles durchgeführt und hier ist nun das logfile:


Logfile of HijackThis v1.97.7
Scan saved at 10:26:36, on 22.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Atguard\iamserv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Atguard\iamapp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\kraemax\Eigene Dateien\My Games\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.motor-search.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.motor-search.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.motor-search.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.motor-search.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.motor-search.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.motor-search.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.motor-search.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.motor-search.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.motor-search.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.motor-search.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.motor-search.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-find.com/index.htm
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [MWEO] C:\WINDOWS\MWEO.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129



Hoffe, das passt so?

#4 Hi

FIxe bitte dies
Alles mit R0 und R1
03 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)

Überprüfe bitte diese beiden Dateien bei einem Onlinescan
z.B. http://www.kaspersky.com/remoteviruschk.html
O4 - HKLM\..\Run: [MWEO] C:\WINDOWS\MWEO.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe

Wenn Virus dann fixen

dann mal die P... Links usw. löschen
und einen Neustart machen.

Dann schauen ob alles klar ist , kannst auch das log nochmal posten

Gruß paff

P.S. du hast noch die MyWay Toolbar auf dem Rechner. Wenn du die absichtlich benutzt OK, wenn nicht kannst du Sie ganz normal über Systemsteuerung/Programme deinstallieren !
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Also gut, hab ich alles gemacht. Die beiden Dateien MWEO.exe und SysUpd.exe gibt's allerdings auf meinem System scheinbar nicht, zumindest sind sie weder in dem angegebenen Verzeichnis, noch über das Suchprogramm zu finden. Und diese MyWay Toolbar finde ich zumindest unter Systemsteuerung/Software auch nicht. Das hast Du ja gemeint, oder?

Auf jeden Fall hier nochmal das neue Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 14:12:45, on 22.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Atguard\iamserv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Atguard\iamapp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\kraemax\Eigene Dateien\My Games\hjt.exe

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [MWEO] C:\WINDOWS\MWEO.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129

Kann ich eigentlich in Zukunft auch alles mit R1 und R0 löschen?

Ansonsten schon mal vielen Dank!!!

#6 Öffne mal im Windows Explorer das Menü Extras und dort Ordneroptionen.
Dann auch denn Tab Ansicht. Dort muß das Kreuz bei
"Geschützte Systemdateien ausblenden(empfohlen)"
weg sein.
Mit OK bestätigen.

Dann nochmal nach den Dateien suchen
C:\WINDOWS\MWEO.exe
C:\WINDOWS\SysUpd.exe
Wenn die Dateien wirklich nicht mehr da sind, dann kannst du Sie in HiJackThis auf jeden Fall fixen.

Wegen der "MyWay" Toolbar!
Die müsste dann eigentlich in deine INTERNETEXPLORER als Toolbar zu sehen sein.
Wenn nicht, kannst du den Eintrag auch Fixen
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL

Gruß Chris

P.S. ist das Problem mit den Bookmarks auf dem Desktop jetzt gelöst?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Alles klar, hab die Dateien nicht gefunden und dann gefixt. Ich glaub jetzt geht's wieder. Danke!!!