Hilfe bei evtl. Virus-/Backdoorbefall!

#1 Hi da ich mich leider nicht wirklich perfekt auf diesem Gebiet auskenne hoffe ich auf Eure hilfe .
Irgendwie spinnt mein System seit dem letzten format C:, kann z.B. immer erst nach 2-3 min mich ins Internet wählen da voher die Verbindung nicht ausführbar ist. Dann blinkt der Desktop einmal und alles geht. Oder der TaskManager lässt sich nicht aufrufen.
Hatte den Wurm MSBlast drauf konnte ihn aber löschen. Ist er evtl. noch irgendwo ?
Hab mal ein Log erstellt und würde gerne wissen ob ich da irgendwo etwas habe was da nicht wirklich hingehört. Besten Dank im vorraus.

Code

==========================================================
Logfile of HijackThis v1.97.7
Scan saved at 23:37:48, on 06.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\H3dTweaker.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\winlog.exe
C:\WINDOWS\System32\drivers\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\D3D3DTwkAnim.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\WinRaR\WinRAR.exe
C:\DOKUME~1\ANDREE~1\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Andree Sonnenberg
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Windows Login] winlog.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\H3dTweaker.exe -hide
O4 - HKLM\..\RunServices: [Windows Login] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.5901736111
O17 - HKLM\System\CCS\Services\Tcpip\..\{353217E4-3AF5-419B-945E-8D910E2108DC}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{63AE21F1-2273-4190-BBBE-E6E1996EB727}: NameServer = 62.225.253.9,62.225.249.16
==========================================================

Ups sorry falsches Board ... verschiebt mal bitte

#2 Fix diesen Eintrag:

O4 - HKLM\..\Run: [Windows Login] winlog.exe

und schicke die Datei bitte an virus@protecus.de , oder teste die Datei hier: http://www.kaspersky.com/remoteviruschk.html um herauszubekommen, welcher Virus/Malware das ist.

Auf jeden fall sieht es nicht gut aus fuer deinen Rechner!
__________
MfG Ralf
SEO-Spam Hunter

#3 Die svchost.exe sollte sich eigentlich auch nicht im system32/drivers/ Ordner befinden ....

C:\WINDOWS\System32\drivers\svchost.exe

am besten auch mal an virus@protecus.de senden (aber auch wirklich die aus dem drivers Ordner!)
__________
(-- Rokop --)
www.rokop-security.de

#4 Ich glaube Schranzy hat diesen wurm, hier: http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.welchia.b.worm.html

Der Wurm nutzt glaube ich sicherheitslücken,und versteckt sich in dem system32 ordner in drivers als svchost.exe. Ich bin mir zwar nicht sicher ob er diesen virus hat aber möglich ist es

#5 Deswegen soll er die Datei auch mal hersenden....
__________
(-- Rokop --)
www.rokop-security.de

#6 Sers,

leider finde ich weder die Winlog.exe noch die svchost.exe (im drivers Ordner)

Hmm kann mir evtl. jemand weiter helfen wo ich die Dateien finde?


So habe mal Eure Tips zu Herzen genommen und das Prog von Symantec ausgeführt. Ersteinmal ein dickes Danke für Eure schnelle Hilfe.

Hier das aktuelle Logfile of HijackThis v1.97.7

==========================================================

Logfile of HijackThis v1.97.7
Scan saved at 17:11:22, on 07.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\H3dTweaker.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\D3D3DTwkAnim.exe
D:\PROGRA~1\POP-UP~1\PSFREE.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\WinRaR\WinRAR.exe
C:\DOKUME~1\ANDREE~1\LOKALE~1\Temp\Rar$EX00.687\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Andree Sonnenberg
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 25)\H3dTweaker.exe -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "D:\PROGRA~1\POP-UP~1\PSFREE.EXE"
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.5901736111
O17 - HKLM\System\CCS\Services\Tcpip\..\{63AE21F1-2273-4190-BBBE-E6E1996EB727}: NameServer = 62.225.253.9,62.225.249.16

==========================================================