TR/TCPPARAMS.D.2, Worm/Rbot.118784.47 und Worm/Sdbot.1231360 wurden gefunden

#1 Hallo zusammen,
jetzt hat es mich auch erwischt.
AntiVir meldet beim booten den Trojaner TR/TCPPARAMS.D.2 und zwei Würmer Worm/Rbot.118784.47 und Worm/Sdbot.1231360, die ich einfach nicht wieder los werde.
Wer kann mir vielleicht helfen - ihr seid meine letzte Hoffnung...
Vielen Dank,
Stefan.

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:31:12, on 05.06.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\PCWELT\Downloads\Avenger\Exe\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.2.1P.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SYSTEM] winmgrd.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINNT\system32\firewall.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\Isass.exe
O4 - HKLM\..\Run: [Windows Firewall Updater] updatees.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINNT\system32\mmdr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [SYSTEM] winmgrd.exe
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe
O4 - HKLM\..\RunServices: [Windows Firewall Updater] updatees.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe
O4 - HKCU\..\Run: [userinit] C:\WINNT\system32\ntos.exe
O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Server VSS System - Unknown owner - C:\WINNT\sysvs32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

#2 Massenhaft Malware! Funktioniert deine Zonealarm Firewall nicht? Ich wuerde ihn Platt machen/neu aufsetzen. Ich meine den Rechner!
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,
gibt es wirklich gar keine Rettung mehr?
MfG. Stefan

#4 Versuchen kann man einiges, aber wirklich sinnvoll ist es in deinem Fall nicht. Dann wuerde ich mir die Muehe machen, alles neu aufzusetzen. Das ist hier schneller und sicherer.
__________
MfG Ralf
SEO-Spam Hunter

#5 Ok, wahrscheinlich hast Dur recht...trotzdem vielen Dank für Deine Meinung.
MfG. Stefan.

#6 Naja...wenn er sich bei der Datensicherung aber versehentlich was mitnimmt und beim neu aufspielen wieder infiziert is auch kacke...
Und Roman...also ich weiß nicht...ich würde mal probieren.

Lad dir mal den Security-Task-Manager von Neuber: http://www.neuber.com/taskmanager/deutsch/index.html
installieren und starten. Bei einigen Dingen wirst du selbst wissen dass es schädlich ist und setzt es in die Quarantäne! Bei denen wo du dir ncht sicher bist....frag nach.

Anschließend lad dir mal AVG Antispyware runter: http://www.chip.de/downloads/c1_downloads_13014984.html
Mach n Update, mach alle einstellungen die du brauchst, das is net weiter schwer.
Anschließend ein vollen systemscan.

Wenn du damit fertig bist mach noch einen HiJackThis-Logfile hier rein.
Würdst du dir den dann mal anschaun Roman? Oder Ralf..wie auch immer ich dich nennen soll.
Weil im Logfiles-lesen bin ich NOCH nich so bewandert^^


PS: Außerdem würds nicht schaden sich auf www.tuneup.de mal die 30-Tage-Testversion von Tuneup2007 runnerzuladen.
Da mal n Disc-cleaner, n Registry-Cleaner und ne 1-Klick-Wartung zu machen.
Dann noch den Systemratgeber benutzen der dir noch einige sicherheitslücken aufdecken wird.
__________
Die Schwierigkeiten werden immer Größer, je näher man dem Ziel kommt (J. W. Goethe)

#7 Hallo,Daniel
Du auch hier?
__________
MfG Argus

#8 ähm...ja
aber wer bist du?
__________
Die Schwierigkeiten werden immer Größer, je näher man dem Ziel kommt (J. W. Goethe)

#9 Hallo zusammen,
ich gebe jetzt auf und kille die Kerle mit einer Neuinstallation...
Vielen Dank.