Problem mit Virus

[Quint]

Erstmal Sry für den wenig aussagekräftigen Titel, allerdings kann ich es atm einfach nicht näher spezifieren.

War für längere Zeit offline und bin erst vor 3 Tagen wieder in den Genuss des Inets gekommen, hab auch sofort die MS Updates gezogen und Antivir laufen lassen -> nichts gefunden. Den Antivir Guard konnte ich nicht aktivieren, ka was da los ist, auch ein Erneutes Ziehen + Installation hat nicht geklappt -> die Schaltstelle "Guard aktivieren" bleibt grau unterlegt.

Naiv wie ich bin habe ich mich dann erstmal den freudigen Surfen hingegeben, bis gestern folgendes passierte: Der PC - sprich alle Programme sowie das surfen an sich - werden nach einiger Zeit extrem langsam, manchmal passiert das nach 5 min, manchmal länger.

Das Antivir Prog findet dann auch folgende verdächtige Dateien, die es leider nicht selbst löschen kann weil sie sich in Archiven befinden (so ungefähr die Meldung) und manuell finde ich sie nicht:

C:\WINNT\SYSTEM32\CIHUZEL.EXE

C:\WINNT\SYSTEM32\AYYLOFI.EXE
C:\WINNT\SYSTEM32\AROMEDY.EXE

C:\WINNT\SYSTEM32\CIHUZEL.EXE
C:\WINNT\SYSTEM32\AYYLOFI.EXE

In den laufenden Prozessen nimmt dann auch die lsass.exe immer mehr Speicherplatz in Anspruch, aber sowohl der sasser remover von symantec als auch antisasser von trojaner-info.com finden nichts. Abgesehen vom allgemeinen krassen laggen kann ich auch nichts mehr via "Entf" Taste löschen, weil dann bei Texten wie auch bei Symbolen scheinbar irgendeine Zufällige Handlung ausgelöst wird bzw der Desktop sich eben von allen Symbolen inklusive Taskleiste verabschiedet und nach ca. 30 secs. wieder "normal" wird.

Windows 2k mit den aktuellsten Servicepack + Updates.

Ich weiß genau, dass solche Topics den Mods sauer aufstoßen, aber atm finde ich via Suchfunktion zum Thema Sasser nur allgemeines, zum anderen bin ich mir gar nicht sicher ob es überhaupt damit zu tun hat. Der zunehmende Lag macht die Sache dann auch nicht unbedingt einfacher.

Wäre wirklich für jede Hilfe dankbar, evtl. auch für einen alternativen Guard bzw. eine Antwort warum mein aktueller nicht funktioniert.

Thx im Vorraus.

 

[Sodom&Gomorrha]

Geh mal in den abgesicherten Modus und scanne nochmals durch, da könnte AntiVir vielleicht so einiges mehr finden, da nun auch einige andere Dateien nicht in Benutzung sind. Der Scan dauert auch etwas länger dort. Alternativ Dienste wie Trendmicro HouseCall in Anspruch nehmen, die via Java auf deine lokale Platte zugreifen.

Du könntest auch versuchen, von Bootdiskette oder deiner Windows-CD zu starten, von dort aus in das Systemverzeichnis wechseln und die Entfernung versuchen. Du solltest in jedem Fall vorher eine Sicherung deiner zumindest wichtigsten (virenfreien) Dateien anraten, falls da etwas schiefgehen sollte.

Es ist übrigens pikant, daß selbst Google zu den .exe-Dateien absolut nichts findet.

 

[[For]Hood2]

Den mods stoßen solche topics nicht auf, sondern das Du nicht in der Lage bist den sticky thread zu lesen.

Geh in diesen Thread:
http://forum.ingame.de/broodwar/showthread.php?s=&threadid=78768

Folge der Anleitung und poste ein HijackThis log.

Und Dein Antivirus sagt in welchen Archiven sich die Dateien befinden. Suchen und löschen.

 

[Quint]

So langsam ist es nichtmehr lustig, ich kann nicht einmal bei der Vollversion von Norton AV 2004 einen Systemcheck durchführen lassen (sei es im abgesicherten Modus oder mit Inet) weil ein "schwerwiegender Fehler" aufgetren ist, beim Liveupdate "werden keine neuen Updates gefunden".

Hier mal der HJT Log, da ich keinen Rechtsklick auf ein Symbol machen kann hab ich das Prog anders wie von Mailman beschrieben einfach nur "normal" gestartet, anders ging es nicht:

Logfile of HijackThis v1.99.1
Scan saved at 20:26:33, on 14.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\WinPoET Broadband Connection\WrOS.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe
C:\WINNT\system32\lanlan32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\AdTools Service\AdTools.exe
C:\Program Files\AdTools Service\AdToolsKeep.exe
C:\WINNT\system32\svhost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\lanlan32.exe
C:\WINNT\system32\svhost.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
C:\Programme\DV Series\Console\Watch.exe
C:\UNZIPPED\MOZILL~1.7-W\MOZILL~1\MOZILL~1.EXE
C:\Programme\ICQ\ICQ.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Q1\LOKALE~1\Temp\Rar$EX00.933\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus...aults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [z-wrdialer] "C:\Programme\WinPoET Broadband Connection\wrdialer.exe"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [Audiocast] C:\WINNT\SYSTEM32\onudosica.exe
O4 - HKLM\..\Run: [qgqqft] C:\WINNT\SYSTEM32\azybihyt.exe
O4 - HKLM\..\Run: [bxvbsv] C:\WINNT\SYSTEM32\yybyces.exe
O4 - HKLM\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\Run: [igamatu] ekor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Q1\LOKALE~1\Temp\SAHAGE~1.EXE run
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\otebeci.exe
O4 - HKLM\..\Run: [ipidi] veyegu.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\RunServices: [igamatu] ekor.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\RunServices: [ipidi] veyegu.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKCU\..\Run: [igamatu] ekor.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [ipidi] veyegu.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Excel\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C82754D6-9122-41C7-A0CE-BE8EA4CCF77B}: NameServer = 212.114.152.1 212.114.153.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: mpycmzn - Unknown owner - \\212.114.235.209\print$\NVCOM.EXE" -service (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: trbzm - Unknown owner - \\212.114.236.127\print$\service.exe" -service (file missing)
O23 - Service: UpdateWindows - Unknown owner - C:\WINNT\system32\config\ati2dvl.exe
O23 - Service: WindowsUpdate - Unknown owner - C:\WINNT\system32\config\ati2dvl.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE

Gibt es denn btw keine Alternative zum AV Guard?

 

[aMrio]

das hijackthis logfile auszuwerten traue ich mir nicht zu, aber mit freeav habe ich auch kürzlich sehr schlechte erfahrungen gemacht. ich hab nie irgendwas installiert abgesehen von win updates (ich zock nur 2 spiele seit jahren und ansonsten höre ich lediglich musik) und dennoch waren plötzlich zig viren und trojaner drauf (trotz hardware firewall bei der ich nichtmal die fürs wc3 dota hosten nötigen zig ports öffne).

dieser trojaner wurde von mir eindeutig erkannt durch vergleich von laufenden tasks mit internetdatenbanken bei den antivirenherstellern (so wie hijackthis halt nur von hand ). leider konnte freeav ihn überhaupt nicht erkennen trotz neuester updates. nach einer weiteren onlinestunde war dann ein neuer trojaner auf dem system welcher SÄMTLICHE ausführbaren dateien infizierte .

leider habe ich bei der neuinstallation vergessen daß auch dateien auf dem usb stick infiziert sein könnten und hab von da aus firefox installieren wollen . jedoch hatte ich VORHER kaspersky pro (hat ja 30 tage kostenfrei und bei zig tests die beste ergebnisrate) installiert welcher die datei direkt erkannte und jegliche beeinflussung meines pc verhinderte -> ich nutze jetzt nur noch kaspersky und bin SEHR zufrieden damit.

 

[Quint]

Sowohl Kasper als auch das von mailman im Thread vorgeschlagene Alternativprogramm zu AV benötigen beide einen Key bzw. Schlüssel, von daher bringt mir das auch nicht wirklich viel :/

 

[[For]Hood2]

Hahahaha Ein Zombie rechner

Wenn Du ganz sicher gehen willST FORMATIEREN

Start HijackThis and mach einen Haken bei:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O4 - HKLM\..\Run: [Audiocast] C:\WINNT\SYSTEM32\onudosica.exe
O4 - HKLM\..\Run: [qgqqft] C:\WINNT\SYSTEM32\azybihyt.exe
O4 - HKLM\..\Run: [bxvbsv] C:\WINNT\SYSTEM32\yybyces.exe
O4 - HKLM\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\Run: [igamatu] ekor.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Q1\LOKALE~1\Temp\SAHAGE~1.EXE run
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\otebeci.exe
O4 - HKLM\..\Run: [ipidi] veyegu.exe
O4 - HKLM\..\RunServices: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\RunServices: [igamatu] ekor.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\RunServices: [ipidi] veyegu.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKCU\..\Run: [igamatu] ekor.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [ipidi] veyegu.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Excel\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O23 - Service: mpycmzn - Unknown owner - \\212.114.235.209\print$\NVCOM.EXE" -service (file missing)
O23 - Service: trbzm - Unknown owner - \\212.114.236.127\print$\service.exe" -service (file missing)
O23 - Service: UpdateWindows - Unknown owner - C:\WINNT\system32\config\ati2dvl.exe
O23 - Service: WindowsUpdate - Unknown owner - C:\WINNT\system32\config\ati2dvl.exe
Schliesse alle Fenster und klick auf Fix.
Neustarten

Systemsteuerung/ Software, deinstalliere
AdTools Service

Lösche folgendes:
C:\WINNT\system32\config\ati2dvl.exe
C:\WINNT\SYSTEM32\onudosica.exe
C:\WINNT\SYSTEM32\azybihyt.exe
C:\WINNT\SYSTEM32\yybyces.exe
C:\WINNT\system32\lanlan32.exe
C:\WINNT\system32\ekor.exe
C:\Program Files\AdTools Service\ <-kompletten Ordner löschen
C:\WINNT\system32\svhost.exe
C:\WINNT\SYSTEM32\otebeci.exe
C:\WINNT\system32\veyegu.exe

Poste eine neues Log.

 

[NocturntehSex]

wollt schon sagen, svhost und lanlan32 kommen mir seeehr verdächtig vor, aber hood nunma >>> me aber was is mit der internat.exe? gehört die dahin?

 

[[For]Hood2]

Sowohl als auch. Normalerweise ist das die Anzeige vom Tastaturtreiber unten rechts in der Taskleiste. (das blaue De). Es gibt auch einen Bot der die Datei löscht und sich selber da einträgt. Da er schwer verseucht ist habe mich entschlossen das Teil aus der Autostart raus zunehmen und in einem späteren Vorgang zu reparieren. Löschen kommt nicht in frage.

 

[Quint]

Logfile of HijackThis v1.99.1
Scan saved at 16:01:03, on 15.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\WinPoET Broadband Connection\WrOS.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\ICQ\NDetect.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe
C:\WINNT\SYSTEM32\otebeci.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\temp\salm.exe
C:\WINNT\system32\kutav.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\lanlan32.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\lanlan32.exe
C:\WINNT\system32\svhost.exe
C:\WINNT\system32\kutav.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
C:\Programme\DV Series\Console\Watch.exe
C:\Programme\Winamp\winamp.exe
C:\WINNT\explorer.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [z-wrdialer] "C:\Programme\WinPoET Broadband Connection\wrdialer.exe"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\otebeci.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [gtalejkh] C:\WINNT\gtalejkh.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Aesmnnrsd] C:\WINNT\SYSTEM32\eyenedumi.exe
O4 - HKLM\..\Run: [kutav] kutav.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\RunServices: [kutav] kutav.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [kutav] kutav.exe
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE

Hab jetzt bis auf otebeci, svhost sowie lanlan32 alles "gelöscht" (da weder Rechtsklick noch Entf geht via Drag&Drop, Msg fürs Löschen kam und Icons verschwanden auch, Papierkorb blieb aber leer -> trotzdem weg?), jene 3 "werden gerade beendet und müssen erst geschlossen werden". War offline als ich das gemacht hab.

Irgendjemand eine Idee wie es jetzt weitergehen kann?

Edit: Kann man die Files evtl. unter Dos löschen? Wenn ja, wie?

 

[[For]Hood2]

Ja ich, immer mit der ruhe.

Wir bekommen Dich schon noch sauber. Auf die eine oder andere ART

Schön einer von den Drecksäcken lädt Trojaner nach.

Dann boote mal in den abgesicherten Modus:
( neustarten, BIOS Screen abwarten, sobald Windows startet F8 -> Abgesicherter Modus))

Starte HijackThis und mache einen Haken bei:
O4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\otebeci.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [gtalejkh] C:\WINNT\gtalejkh.exe
O4 - HKLM\..\Run: [Aesmnnrsd] C:\WINNT\SYSTEM32\eyenedumi.exe
O4 - HKLM\..\Run: [kutav] kutav.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] lanlan32.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\RunServices: [kutav] kutav.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update] lanlan32.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [kutav] kutav.exe
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
Schliesse alle Programme und klicke auf Fix.

Dann lösche folgende Dateien und Ordner:
C:\WINNT\SYSTEM32\otebeci.exe
C:\Program Files\Media Access\ <- kompletten Ordner
c:\temp\salm.exe
C:\WINNT\gtalejkh.exe
C:\WINNT\SYSTEM32\eyenedumi.exe
C:\WINNT\SYSTEM32\kutav.exe
C:\WINNT\SYSTEM32\svhost.exe
C:\WINNT\SYSTEM32\lanlan32.exe

Mache einen neustart und poste ein neues Log.

Ich schau mir das nachher an.

Edit: typos, wenn noch welche da sind, behalten.

 

[Quint]

Nach den letzten Hijack Log ging dann absolut _nichtsmehr_, weswegen ich doch formatiert hab, via CD das Servicepack 4 für 2k draufgespielt hab sowie Sophos Antivirus.

Ich kann kein MS Update ziehen.

Nachdem die 25 mb fertig gezogen sind, beginnt die Installation. Nach 4h hab ich dann abgebrochen. Wenn ich jetzt erneut versuche, das Update zu installieren, tut sich nichts wenn ich auf "Installieren" klicke, wobei das evtl. an der Firewall liegt.

Abgesehen davon bekomm ich beim Start immer die Fehlermeldung, dass Sophon W32/Rbot-Fan findet, aber nicht löschen kann weil nicht auf die Datei zugegriffen werden kann. Auf der Sophon Website gibt es zwar zwei Varianten für eine alternative Löschung, erstere funktioniert aber nicht und zweitere kann ich atm nicht ausführen. Sobald ich Online gehe kommt kurz danach auch noch die Meldung "b2.exe hat Fehler verursacht und wird beendet".

Logfile of HijackThis v1.99.1
Scan saved at 19:39:01, on 16.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\WinPoET Broadband Connection\WrOS.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe
C:\WINNT\SYSTEM32\otebeci.exe
C:\WINNT\system32\msnupdateit.exe
C:\WINNT\system32\dnswn.exe
C:\WINNT\system32\binetc.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\msnupdateit.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
G:\MOZILL~1.7-W\MOZILL~1\MOZILL~1.EXE
C:\Unzipped\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [z-wrdialer] "C:\Programme\WinPoET Broadband Connection\wrdialer.exe"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Programme\WinPoET Broadband Connection\winpppoverethernet.exe"
O4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\otebeci.exe
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\Run: [Dns Server] dnswn.exe
O4 - HKLM\..\Run: [Bin Personal Firewall] binetc.exe
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\RunServices: [Dns Server] dnswn.exe
O4 - HKLM\..\RunServices: [Bin Personal Firewall] binetc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [Bin Personal Firewall] binetc.exe
O4 - HKCU\..\Run: [Dns Server] dnswn.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{94B7019E-6520-49F9-BF81-BB1980A1F292}: NameServer = 212.114.152.1 212.114.153.1
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Programme\WinPoET Broadband Connection\WrOS.EXE

Wäre echt dankbar wenn jemand Ahnung hat wie ich den Rbot Wurm killen kann und was es mit der b2.exe auf sich hat. Der IE läuft btw nur wegen den MS Updates, gibt es noch irgendwas
worauf man achten sollte neben Alternativen Browser/Firewall/Virenscanner/Regelmässigen Updates?

Da es relativ eilt, opfere ich jeden User der mir helfen kann eine Kuh zusammen mit einen Admin seiner Wahl.

 

[[For]Hood2]

Starte HijackThis und mache einen Haken bei:
4 - HKLM\..\Run: [tepim] C:\WINNT\SYSTEM32\otebeci.exe
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\Run: [Dns Server] dnswn.exe
O4 - HKLM\..\Run: [Bin Personal Firewall] binetc.exe
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\RunServices: [Dns Server] dnswn.exe
O4 - HKLM\..\RunServices: [Bin Personal Firewall] binetc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [Bin Personal Firewall] binetc.exe
O4 - HKCU\..\Run: [Dns Server] dnswn.exe
Schliesse alle Programme und klick auf Fix.
Reboot in den abgesicherten Modus

lösche folgende Dateien:
C:\WINNT\SYSTEM32\otebeci.exe
C:\WINNT\SYSTEM32\dnswn.exe
C:\WINNT\SYSTEM32\binetc.exe
C:\WINNT\SYSTEM32\msnupdateit.exe

Mach im abgesicherten Modus ein Virenscan. Dann sollte er alles entfernen können.
Reboot und probier nochmal Windowsupdate.

Und lass die Firewall an...

 

[Dr. Picasso]

könnt ihr auch schnell mal nen blick hierrauf werfen bitte

aus gewissen gründen kann man auf diesem rechner keine service packs installieren ....
wenn das mein rechnerwäre, würde ich mich zwar um nen gescheiten key kümmern, aber naya

Logfile of HijackThis v1.99.1
Scan saved at 22:30:11, on 17.05.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
E:\progs\antivirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://google.icq.com/search/search_frame.php[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://google.icq.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.t-online.de[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - [url]http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab[/url]
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - 
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - [url]http://playroom.icq.com/odyssey_web11.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{778B7C3D-C62C-4A9C-9F07-E53CCDFD21F5}: NameServer = 192.168.69.254
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

 

[[For]Hood2]

Fix dies:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M...bridge-c267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Uninstall:
P2P Networking (lass dich nicht belabern das wird nicht gebraucht)

Download Adaware und mach einen full system scan, sollte den rest rausspülen.

 

[thecure82]

C:\WINNT\system32\svhost.exe
Böse Laufender Prozess. (svhost.exe)
Added as result of a RBOT.QG worm infection Dies ist ein Böser Prozess! Den Prozess sollten Sie fixen und manuell löschen!

O4 - HKLM\..\Run: [z-wrdialer] "C:\Programme\WinPoET Broadband Connection\wrdialer.exe"
Böse WinPoet DSL dialler
Trefferquote: 68 % (Resultate) Unbedingt fixen!

O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
Böse Added as result of a W32/Sdbot-PY worminfection
Trefferquote: 99 % (Resultate) Unbedingt fixen!

O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
Böse Added as result of a W32/Sdbot-PY worminfection
Trefferquote: 99 % (Resultate) Unbedingt fixen!

O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
Böse Added as result of a W32/Sdbot-PY worminfection
Trefferquote: 99 % (Resultate) Unbedingt fixen!



pro format c:

 

[Dr. Picasso]

Original geschrieben von [For]Hood
Fix dies:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M...bridge-c267.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Uninstall:
P2P Networking (lass dich nicht belabern das wird nicht gebraucht)

Download Adaware und mach einen full system scan, sollte den rest rausspülen.

adaware hat sowohl vor als auch nach dem fixen der oben genannten posten nichts gefunden

Logfile of HijackThis v1.99.1
Scan saved at 02:06:16, on 18.05.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://google.icq.com/search/search_frame.php[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://google.icq.com[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.t-online.de[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - [url]http://playroom.icq.com/odyssey_web11.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{778B7C3D-C62C-4A9C-9F07-E53CCDFD21F5}: NameServer = 192.168.69.254
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

adaware, antivir, spybot finden nix mehr
immunisiert is auch mit spywareblaster

wenn jetzt der log clean is, kann ich doch sagen dass der rechner sauber is oder?
allerdings mit derdringenden warnung, dass ohne die servicepacks und win updates wohl ein gewisses risiko vorliegt ...

 

[Dr. Picasso]

andere frage, die nix mit viren o.ä. zu tun hat (zumindest denk ich das -.-)

direkt nach dem memory test und dem erkennen der IDE laufwerke (also auch da wo man ins bios kann wenn man entf drückt)
kommt folgendes:
erst: "S-ATA RAID bla bal BIOS version x.xx"
dann: "press XX or XX to enter RAID UTILITY"
dann: "primary channel: not found"
dann: "secondary channel: not found"
danach gehts scheinbar normal weiter

im prinzip ist das also gar kein wirkliches problem, trotzdem wäre es natürlich schön wenn ich das wegmachen könnte

im bios hab ich nix mit sata und raid gefunden (die eine festplatte ist denke ich IDE)

im geräte manager war ein SCSI/RAID-Controller "nicht korrekt installiert"
sowohl das aktuallisieren der treiber als auch das deaktivieren des controllers helfen nicht.
unter systemsteuerung direkt findet man das teil übrigenz auch

der genaue name lautet: "Silicon Image Sil 3112 SATARaid Controller"

 

[haschischtasche]

Original geschrieben von Picasso
wenn jetzt der log clean is, kann ich doch sagen dass der rechner sauber is oder?
allerdings mit derdringenden warnung, dass ohne die servicepacks und win updates wohl ein gewisses risiko vorliegt ...

wenn der rechner einmal infiziert war, dann kann man das nie 100%ig sicher sagen (ausser man formatiert halt ).
2.) ja, man sollte genrell immer die neusten winupdates draufhaben

 

[[For]Hood2]

Wenn das system einmal befallen war, ist es nie wieder zu 100% sauber.

O4 - HKLM\..\Run: [z-wrdialer] "C:\Programme\WinPoET Broadband Connection\wrdialer.exe"
Böse WinPoet DSL dialler
Trefferquote: 68 % (Resultate) Unbedingt fixen!

Das ist der Grund warum ich niemand Hijackthis.de empfehlen werde und kann.
Wenn ich nur zur 68% sicher bin das irgendwas evt. ein böser Dialer dann empfehle ich bestimmt nicht das unbedingtzu fixen.
Wievielen Leuten hat das wohl schon die Internetconnection gekostet

 

[[For]Hood2]

Ohne updates ist natürlich nicht zu empfehlen.

Naja welches Mainboard? evt ein Jumper auf dem Board, frage das Manual.