doit[1].exe.mwt wie entfernen Logfile is dabei

#0
13.10.2004, 21:07
...neu hier

Beiträge: 8
#1 Hallo,

ich habe Viren auf meinem PC er heißt doit[1].exe.mwt
was kannn ich gegen diesen machen???
ich habe von computern nicht so viel ahnung also bitte genau beschreiben

NeMaX
ach hier das Logfile

Logfile of HijackThis v1.98.2
Scan saved at 20:56:17, on 13.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Maus\mouse32a.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\WinsysRsr.exe
C:\Programme\Tastatur\KbdAp32A.exe
C:\Programme\Telefonanlage\driver\Capictrl.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Antivirenprogs\HijackThis.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\tomcat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Maus\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Tastatur\MMKEYBD.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinsysRsr] C:\WINDOWS\WinsysRsr.exe
O4 - HKLM\..\Run: [0Tr] c:\dokumente und einstellungen\nemax50\lokale einstellungen\temp\0Tr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2003\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2003\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2003\\Parser.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/232bcbb768f126ffb215/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094986976451
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78A4BB8F-CDAE-4C2A-A559-E489F1178C2A}: NameServer = 217.237.150.141 217.237.150.97
Seitenanfang Seitenende
13.10.2004, 21:29
Moderator

Beiträge: 7805
#2 Die Datei ist bereist von 'Escan umbenannt worden. du solltest sie einfach loeschen koennen.

Fixe mal folgendes:

O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL (file missing)
O4 - HKLM\..\Run: [WinsysRsr] C:\WINDOWS\WinsysRsr.exe
O4 - HKLM\..\Run: [0Tr] c:\dokumente und einstellungen\nemax50\lokale einstellungen\temp\0Tr.exe

starte neu und schicke bitte

c:\dokumente und einstellungen\nemax50\lokale einstellungen\temp\0Tr.exe
C:\WINDOWS\WinsysRsr.exe

an virus@protecus.de. Dein KAV ist aktuell? DeinWindows ist es nicht. Update so schnell wie moeglich via www.windowsupdate.com!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.10.2004, 21:40
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo,

ich habe jetzt nochmal gesacnnt und dann die beiträge gefixed

ja also gelöscht

so schaut das file getz aus

Logfile of HijackThis v1.98.2
Scan saved at 21:39:14, on 13.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Maus\mouse32a.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\WinsysRsr.exe
C:\Programme\Tastatur\KbdAp32A.exe
C:\Programme\Telefonanlage\driver\Capictrl.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Word 2002\Office10\WINWORD.EXE
C:\Programme\T-Online\T-Online_Software_5\eMail\Mail.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\ISDNSP~1\tomcat.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Antivirenprogs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Maus\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Tastatur\MMKEYBD.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2003\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2003\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2003\\Parser.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/232bcbb768f126ffb215/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094986976451
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78A4BB8F-CDAE-4C2A-A559-E489F1178C2A}: NameServer = 217.237.150.141 217.237.150.97


was muss ich getz noch genau machen das der dreck mal weg is???

NeMaX
Seitenanfang Seitenende
14.10.2004, 10:35
Member

Beiträge: 48
#4 Hast du einen MP3-Player installiert?
Daher könnte diese Datei kommen

C:\WINDOWS\WinsysRsr.exe

Du hast noch kein Update gemacht, hole das schnellstmöglich nach!
Seitenanfang Seitenende
14.10.2004, 11:43
Moderator

Beiträge: 7805
#5 Wenn ich die Datei haette, wuesste ich/wir mehr! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2004, 13:56
...neu hier

Themenstarter

Beiträge: 8
#6 also heut is meine microsoft sp2 cd gekommen
wollte draufhauen und dann kommt immer der blaue bildschirm am ende und der pc schaltet sich aus das dumm teil
also ich hab raman die mail geschickt mit den 2 dateien

Danke schonma

NeMaX
Seitenanfang Seitenende
14.10.2004, 14:16
Moderator

Beiträge: 7805
#7 aelfric2 hatte recht, die WinsysRsr.exe hat etwas mit MP3 zu tun, und das anrdere ist "adware".

Ob das aber etwas mit deinem Udateproblem zu tun hat, kann ich dir nicht verraten.
Da dein Rechner schon so "verkonfiguriert" ist, solltest du mal ueberlegen, ob du deinen Rechner nicht einfach neu installierst. Dann hast du ein sauberes, schnelles System. Sichere deine Date, die du noch bracuhst und lies dir das bitte durch:
http://board.protecus.de/t13019.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2004, 21:40
...neu hier

Themenstarter

Beiträge: 8
#8 oh man vor der neuinstallation wollt ich mich eig bewahren aba wenns net anders geht
gibts keine möglichkeit den trojaner da zu löschen oda so???

und sp2 im abgesicherten modus oda so??

NeMaX
Seitenanfang Seitenende
14.10.2004, 21:42
Moderator

Beiträge: 7805
#9 Versuch macht "kluch"!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende