Kann Virus nicht löschen

#0
28.07.2004, 11:49
...neu hier

Beiträge: 1
#1 Hallo

Ich habe folgendes Problem, mein Virenprg zeigt mir immer das ich ein
"Trojanisches Pferd TR/Agent.AB" drauf habe. Wenn ich es lösche kommt
es immer wieder. ggggrrrr

Außerdem blinkt mein ACT lampe von meinen DSL-Modem hintereinander
ob wohl ich garnicht surfe, irgend etwas telefoniert nach Hause.

Hier mal das Log von HiJacker:
Scan saved at 11:38:49, on 28.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\WINDOWS\System32\Fast.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\netclnt.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Trust\302KS\Keyboard\KbdAp32A.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\ntsys32.exe
C:\WINDOWS\System32\ntsys32.exe
C:\Programme\ScannerU\AM32.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\wincmd\WINCMD32.EXE
c:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [FLMTRUSTMOUSE] C:\Programme\Trust mouse utility\1.0\mouse32a.exe
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Trust\302KS\Keyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
gefixt - O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Registers] winservicess.exe
O4 - HKLM\..\Run: [NAVSCAN32.EXE] NAVSCAN32.exe
O4 - HKLM\..\Run: [sjivtbtzkiny] C:\WINDOWS\System32\dqirbmsc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
gefixt - O4 - HKLM\..\Run: [Configuration] ntsys32.exe
gefixt - O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe
O4 - HKLM\..\RunServices: [NAVSCAN32.EXE] NAVSCAN32.exe
gefixt - O4 - HKLM\..\RunServices: [Configuration] ntsys32.exe
O4 - HKCU\..\Run: [NAVSCAN32.EXE] NAVSCAN32.exe
gefixt - O4 - HKCU\..\Run: [Configuration] ntsys32.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit DSL-Tuning 2004 downloaden - C:\Programme\G DATA DSL-Tuning 2004\IEDownload.htm
O9 - Extra button: Web-Eintrag (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21c7c4e99d85cbd53906/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
gefixt - O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38166.4146064815
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2C9210A-CB67-4AE2-A6AC-A75FD9DAC37A}: NameServer = 213.148.129.10 213.148.130.10

Was gehört da noch nicht rein?

Bye Torsten
Dieser Beitrag wurde am 28.07.2004 um 12:03 Uhr von torsten31j editiert.
Seitenanfang Seitenende
28.07.2004, 12:53
Member

Beiträge: 441
#2

Zitat

Außerdem blinkt mein ACT lampe von meinen DSL-Modem hintereinander
ob wohl ich garnicht surfe, irgend etwas telefoniert nach Hause.
Irgend jemand in den weiten des Internets hatte bzw. hat immer noch einen Fernzugriff auf deinen Rechner, dank dieser Malware (Würmer/Trojaner):
gefixt - O4 - HKLM\..\Run: [Configuration] ntsys32.exe => W32/Sdbot-MR siehe http://www.sophos.de/virusinfo/analyses/w32sdbotmr.html
gefixt - O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe => W32/Rbot-BK siehe http://www.sophos.de/virusinfo/analyses/w32rbotbk.html
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe => WORM_SDBOT.NI siehe http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_SDBOT.NI

Dein System ist kompromittiert, d.h. es ist nicht mehr vertrauenswürdig, daher gibt es nur eine sichere Lösung für dein Problems: Neuaufsetzen!
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://oschad.de/wiki/index.php/Kompromittierung

Nach dem Neuaufsetzen solltest du diese Punkte abarbeiten:
1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. Deine Passwörter ändern
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
7. Image deiner Systempartition erstellen
8. Surfverhalten überdenken
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 28.07.2004 um 12:54 Uhr von Cidre editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »