Antivir meldet TR/TCPParams.D.1 ->

#1 Hallo zusammen, mein System hat sich diverse Viren eingefangen. Momentan beschäftige ich mich mit dem TR/TCPParams.D.1 (C:\Dokumente und Einstellungen... \1.reg)
Hatte zuvor noch weitere, bei denen zwar keine Meldung mehr kommt, weil ich sie villeicht gelöscht habe. Sicher bin ich mir aber nicht.

W32/Parite.B.1 (C:\Dokumente und Einstellungen... \sna3.tmp)
WORM/Rbot.210944 (msns.exe und dlm.exe)

Systemwiederherstellung hab ich deaktivirt und im abgesicherten Modus ein Scan mit CounterSpy laufen lassen. Ergebnis 2
VX2.Transponder (C:\Windows\System32\o)
Rbot (C:\Windows\System32\bling.exe)

Ich wäre sehr dankbar, wenn sich jemand mein Problem bzw. die Log's mal genauer unter die Lupe nehmen könnte.

LG

#2 Das hoert sich nach ungepatchtem System an. in dem Fall und der Verseuchung wa3ere neu Aufsetzen und absichern die sicherste und wohl im endeffekt schnellste loesung...
__________
MfG Ralf
SEO-Spam Hunter

#3 Hab mittlerweile das Servicepack2 installiert mit sämtlichen Updates.

Format C:\ wäre in meinen Augen auch das beste. Nun leider ist das nicht mein Computer. Von vielen Programmen sind die Install-CD's nicht vorhanden, weil dieser PC von wiederum jemand anderem aufgesetzt wurde.

Hier mal die Log von Hijack

Logfile of HijackThis v1.99.1
Scan saved at 14:38:17, on 14.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Dokumente und Einstellungen\Joelle\Desktop\Virensuchprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [PartyGuide Tray] C:\PROGRA~1\PGTRAY~1\PartyGuide.exe
O4 - HKLM\..\Run: [Microsoft Windows Network Controller] nc.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Network Controller] nc.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: NETGEAR WG311v3 Smart Wizard.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {1BE7B301-ED56-4E47-BCA8-68D80A44DCB8} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#4 Das System ist nach wie vor total durchseucht. Norton und ANtivir scheinen beide ihre Hintergrundwaechter aktiv zu haben...

Das sieht noch stark nach Bot aus:

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

Antivir mit diesen Einstellungen wird bestimmt noch einiges finden: http://board.protecus.de/t23979.htm
__________
MfG Ralf
SEO-Spam Hunter

#5 Ja, kann schon sein, dass alles versäucht ist. Kann man dieses System entsäuchen? (ausgenommen format)
Vielen Dank erstma für dein Tipp mit Antivir. Stell ich gleich so ein und schau mal was noch alles auf dem Pc verwurmt ist.

#6 Erstmal entschuldige, ich bin in die falsche Zeile gekommen. Das sieht sehr nach BOT aus:

O4 - HKLM\..\RunServices: [Microsoft Windows Network Controller] nc.exe

Zu deiner Frage, 100%ige Reinigung wird wohl nicht funktionieren. Alle aktiven Dinge zu erwischen koennte klappen, aber richtig sauber ist es dann immer noch nicht.

Infos die uns helfen koennten findest du u.a. hier:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#7 Jep, über das NC hab ich mich auch schon gewundert wieso, dass die Windowsfirewall eine Meldung macht, "zulassen oder nicht".

Dieser PC, von dem wir hier sprechen ist derjene von meiner Freundin. Nun, stell ich mir die Frage: Können sich diese Schädlinge per WLan auf mein System übertragen? Wenn das so wäre kommt natürlich nur eine Variant in Frage -> Format xyz
Angenommen man könnte alle Aktiven vernichten, welche Risiken bestehen dann noch mit den Inaktiven?