Probleme mit reader_s.exe und servises.exe

#1 habe seit kurzem die immer wiederkehrenden dateien reader_s.exe und servises.exe und bin nach langer recherche kurz vorm durchdrehn

habe schon verschiedenste scanner (spybot, avg antivirus, comodo firewall, avenger, clam per knoppicillin cd, sophos antirootkit, panda antirootkit usw.) drüber laufen lassen und im moment die comoda firewall, panda cloud antivirus, spyhunter 3 und spybot s&d permanent an

aufgefallen ist mir dies, da ich avira-antivirus nicht installieren konnte und seiten im firefox ständig als unerreichbar angezeigt werden

habe besagte dateien schon aus dem autostart genommen und in der registry gelöscht, aber sie kommen immer wieder

auch habe ich, weiß leider nicht mehr bei welchem prog, gelesen, dass die winlogon.exe der reader_s.exe übergeordnet ist, und die winlogon lädt ja bei jedem systemstart.

versuche, die winlogon per erdcommander von cd aus, mit der winlogon von der windows cd zu ersetzen führen immer wieder dazu, dass ich nen stop fehler ...21a mit status 0xc000...12f bekomme, bringt also nix

die repartur über die windows cd funktioniert auch irgendwie ned...

und jetz brauch ich euch

hier die aktuellste hijack.this log (reader_s vorher per taskmanger abgeschaltet)

__________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:28, on 13.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
H:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\sySTEM32\SvchoSt.ExE
H:\Programme\Panda Security\Panda Cloud Antivirus\PSANHost.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
H:\Programme\Comodo\Firewall\cfp.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
H:\Programme\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
H:\Programme\Volumouse\volumouse.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS.0\System32\alg.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\C6.tmp
C:\WINDOWS.0\system32\C9.tmp
D:\Download\HiJackThis2.0.2.exe
C:\WINDOWS.0\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

C:\WINDOWS\system32\blank.htm
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
F2 - REG:system.ini:

UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\drivers\smss.exe,C:

\WINDOWS.0\system32\sdra64.exe,
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter -

{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - h:\Programme\AVG\AVG8\avgssie.dll (file

missing)
O4 - HKLM\..\Run: [COMODO Firewall Pro] "H:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software

Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [PSUNMain] "H:\Programme\Panda Security\Panda Cloud

Antivirus\PSUNMain.exe" /Traybar
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS.0\PCHealth\HelpCtr\Binaries\MSConfig.exe

/auto
O4 - HKCU\..\Run: [$Volumouse$] "H:\Programme\Volumouse\volumouse.exe" /nodlg
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Programme\Spybot - Search &

Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS.0\system32\servises.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User

'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User

'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User

'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und

Einstellungen\chrissi\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [servises] C:\WINDOWS.0\system32\servises.exe (User

'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises]

C:\WINDOWS.0\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User

'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises]

C:\WINDOWS.0\system32\servises.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -

http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche -

{8b2d996f-b7d1-4961-a929-414d9cf5ba7b} -

http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\guard32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner -

H:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS.0\system32\svchost.exe:ext.exe
O23 - Service: NanoServiceMain - Panda Security, S.L. - H:\Programme\Panda

Security\Panda Cloud Antivirus\PSANHost.exe

--
End of file - 5061 bytes

__________________________________________________________________

vielen dank schon im vorraus

#2 Abarbeiten und Logs posten:
http://board.protecus.de/t23188.htm

#3 ok wird erledigt, kleinen mom bitte

und danke für die schnelle antwort

#4 so liste ist abgearbeitet und folgt:

1.

aufgefallen ist mir nur, dass der firefox ziemlich lahm geworden ist und die seiten fast immer als unerreichbar angezeigt werden oder sich andere seiten öffnen, customsearch etc.

oder aber mir wird der code der php dateien angezeigt oder es erscheinen hyroglyphen im fenster, sieht aus wie rechtecke mit buchstaben drin

bei meiner recherche hab ich entdeckt, dass sich eine reader_s.exe (C:\WINDOWS\system32\reader_s.exe , C:\Dukumente und Einstellungen\Username\Lokale Einstellungen\reader_s.exe) sowohl im taskmanager als auch im systemstart befinden, weiterhin eine servises.exe (C:\WINDOWS\system32\servises.exe)

wohl gemerkt nicht die windowseigene services.exe

auch ließ sich avira antivir nicht installieren, fehler in der setup.exe im temo ordner

avg antivirus ließ sich installieren, konnte aber keine updates laden, hab den inzwischen auch wieder deinstalliert und dafür permanent spyhunter 3, spybot s&d, panda cloud antivirus und die comodo firewall in den beiden höchsten sicherheitsstufen laufen (sprich alle aktionen werden gemeldet)

spybot und diverse andere scanner (sophos anti rootkit, panda anti rootkit, avenger, spybot s&d, avg antivirus, spyhunter 3, etc.) brachten einige trojaner zum vorschein, die sich zwar fixen ließen, aber bei jedem systemstart kamen diese wieder (comodo firewall hat zwischendurch sogar mal meine winlogon.exe gelöscht, konnte dies aber gottseidank wieder hinbiegen)

habe auch in der zwischenzeit das antivirenprog von claim über die knoppicillin boot cd drüberlaufen lassen und alles soweit möglich gefixt

2.

Temporäre dateien alle beseitigt per datenträger bereinigung, auch die wiederherstellungspunkte

3.

hier nun die maleware logs:

1. scan direkt nach dem runterladen

___________________________________________________________
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 5.1.2600 Service Pack 2

13.07.2009 19:49:14
mbam-log-2009-07-13 (19-49-14).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 121905
Laufzeit: 6 minute(s), 18 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 2
Infizierte Dateien: 49

Infizierte Speicherprozesse:
C:\WINDOWS.0\system32\C9.tmp (Trojan.Dropper) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e14dce67-8fb7-4721-8149-179baa4d792c} (Backdoor.Ciadoor) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fci (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Protect (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\fci (Rootkit.ADS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows.0\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\drivers\smss.exe,C:\WINDOWS.0\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS.0\system32\lowsec (Stolen.data) -> Delete on reboot.
C:\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS.0\system32\C9.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\11.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\13.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\15.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\17.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\19.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\1D.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\1F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\31.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\C2.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\E.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\20.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\22.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\25.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\28.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\2B.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\2D.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\2F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\34.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\39.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\3C.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\42.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\6.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\7.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\A.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\jsrtadqg.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\windows.0\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
c:\windows.0\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
c:\programme\protection system\psystem.exe (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\D.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS.0\system32\F.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Administrator.WINDOWSPC\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\chrissi\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\chrissi\Anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\svchost.exe:ext.exe (Rootkit.ADS) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\sdra64.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Programme\Mozilla FireFox\plugins\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\WINDOWS.0\system32\servises.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\chrissi\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\chrissi\Anwendungsdaten\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.

____________________________________________________________

2. scan nach dem reboot

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2297
Windows 5.1.2600 Service Pack 2

13.07.2009 19:59:22
mbam-log-2009-07-13 (19-59-22).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 120525
Laufzeit: 3 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

____________________________________________________________

lustigerweise kann ich seit dem ersten scan nicht mehr normal booten, nur im abgesicherten modus

bekomme nen stop 21a fehler mit status: 0xc000*22

4.

hijack.this logfile:

____________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47:34, on 13.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\NOTEPAD.EXE
D:\Download\HiJackThis2.0.2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - h:\Programme\AVG\AVG8\avgssie.dll (file missing)
O4 - HKLM\..\Run: [COMODO Firewall Pro] "H:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [PSUNMain] "H:\Programme\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS.0\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] h:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "H:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [$Volumouse$] "H:\Programme\Volumouse\volumouse.exe" /nodlg
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\guard32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - H:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: NanoServiceMain - Panda Security, S.L. - H:\Programme\Panda Security\Panda Cloud Antivirus\PSANHost.exe

--
End of file - 3516 bytes

________________________________________________________________

5.

hijack.this uninstall list

_________________________________________________________________

a-squared HiJackFree 3.1
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
COMODO Firewall Pro
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
Panda Cloud Antivirus
Panda Cloud Antivirus
Sophos Anti-Rootkit 1.3.1
Spybot - Search & Destroy
SpyHunter
VLC media player 0.9.9
Windows Media Connect
Windows Media Connect
Windows XP-Hotfix - KB885523

___________________________________________________________

hoffe inständig ihr könnt mir nun weiterhelfen

danke aber schonmal im vorraus

#5 Hallo,
Du hast Backdoors und rootkits am System, wenn du onlinebanking etc machst würde ich dir
1. raten, dass system platt zu machen.
2. musst du unbedingt der Bank mitteilen, das du ein Virenproblem hast.
3. Alle passwörter von einem sauberen System aus endern!
Teile uns deine Entscheidung mit

#6 passwörter etc. sind soweit schon geändert, speziell online banking
die bank ruf ich grade an

ich hab gelesen die reader_s soll ein fileinfector sein
reicht es die systempartition platt zu machen oder soll ich meine wichtigsten daten (videos, bilder, musik) extern sichern und alles verjungfräulichen?

#7 Hallo, wenn du die pws mit dem Computer geendert hast, war das sinnlos.
Von einem file infector habe ich nichts gesehen. es kann aber nicht Schaden, alles zu sichern und alle Platten zu formatieren.
schreibe auch die Bootsektoren neu.
www.tippscout.de/bootsektor-formatieren-und-reparieren_tipp_2831.html -
Nach dem formatieren dies hier umsetzen:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html
Avira wie folgt konfigurieren:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html
Alle Teile der Premium kannst natürlich weg lassen.
Danach Avira updaten, und deine Datensicherung prüfen. Falls Funde in Quarantäne damit und Log posten.
Halte auf jeden Fall die Reihenfolge ein, nicht das etwas schädliches mit der Sicherung zurückgespielt wird, willst ja nicht, dass alles um sonst war :-)

#8 danke für die schnell hilfe

bin grade dabei meine wichtigsten daten zu sichern, wirklich nur musik, bilder und videos, die sollen wohl nicht betroffen sein, alle programme kann man zur not ja immer noch neu installieren nach dem plätten

gott sei dank hab ich mir erst kürzlich ne terrabyte platte geholt

und die datenänderung hab ich natürlich von nem sauberen system aus gemacht, keine frage, aber gut dass dus nochmal angesprochen hast

die links werd ich mir kopiern, da sie sich nicht öffnen lassen (dank schädlingen)

#9 Hallo,
auch Musik und Bilder sind potentielle Träger von Schadcode.
Also sichere erst deinen PC ab, wie von mir geschrieben und scanne dann auch, wie ich es gesagt hatte.

#10 nochmals vielen dank virenfinder

hab alles gemacht wie beschrieben, die gesicherten daten waren zum glück alle sauber, hab den rechner jetz weitestgehend wieder hergerichtet, sprich safty first

den rest werd ich dann die tage aufspielen, natürlich unter strengster kontrolle

#11 Die Konfiguration + Antivirus +alle Updates solltest du schnellst möglich einspielen, du wirst ja sicher im Internet unterwegs sein, sicherheit und die Updates sind das A und O! ;-)

#12 alles erledigt und endlich kann ich wieder ungestört surfen

werde in zukunft auch regelmäßig, natürlich nach vorheriger prüfung des systems, images machen, dann hab ich meine einstellungen wenigst alle

#13 Ja, wenn du wirklich alles an Updates hast, die Konfiguration wie beschrieben ist, dann spricht nichts gegen ein Image. dann hast schon mal n guten Stand.

#14 Guten Morgen erst mal

Hatte das gleiche Problem, nach der Inst. eines Windoooooooooooof xp pro.
kam durch Suche hierher. ebenfalls ewig rumprobiert und was gefunden, was ohne Overkill des Pc´s funzen könnte. versuch mal unlocker1.8.7.exe zu laden, installiere das Pro, und wenn du die Datei reader_s.exe dann umbenannt hast( unter Nutzung jenes Programms) solltest Du sie nach dem Neustart löschen können. Nicht zu vergessen bitte, Regedit ausführen und sämtliche Einträge zu dieser Datei löschen. Bei mir hat´s jedenfalls geklappt. Hab keine Probleme mehr. Viel Erfolg.Gruß an alle Opfer und Jäger von Vieren und Trojanern.