Hi Leute!

Bin froh das ich ein gutes Forum gefunden habe. Hab schon einiges gelesen hier und es sieht so aus als könnte hier jemand sein der mir helfen kann. *aufschleimspurausrutscht*

Also:
Gestern hab ich mich zum ersten mal in eine neue Verbindung per DSL eingewählt und alles lief wie immer. (Windows XP Prof, SP1)
Dann nach einem Neustart kam auf einmal ein Fenster das mich aufforderte bei Microsoft zu registrieren da angeblich die licence.cfg nicht in Ordnung sei.
Da hab ich mir noch nichts gedacht.
Dann allerdings schmierte mein Rechner jedesmal ab sobald ich meine DFÜ Verbindung aufbauen wollte.
So, also, ich hatte auf einmal die dllcon.exe, die muamguard.exe und die licence.exe in meinem Windows Ordner.
Außerdem fand ich zwei Dateien mit Namen: sync64.exe und swatch32.exe die mir komisch vorkamen.
Ich hab also die registry Einträge gelöscht (unter Run), die Dateien gelöscht und F-Prot über mein System laufen lassen.
F-Prot hat nix gefunden.
Jetzt funktionierte meine Inet Verbindung wieder doch jedes mal wenn ich mich einwähle werden die license.exe, die swatch32.exe und die sync64.exe neu erstellt und wenn ich jetzt neustarte und mich versuche einzuwählen schmiert der Rechner wieder ab.

Irgendwie hat sich hier wohl was eingenistet das ich so nicht entfert kriege. Müsste sicher ne .dll sein die ich nicht kenne oderso.

Kann mir jemand helfen?

Bin mit meinem Latein am Ende... vielleicht ist es ja auch noch ne andere Datei/Virus/Trojaner der hier irgendwo sitzt und seinen Spass hat.

Gruß
Sam

Halli Hallo Hallöle,

lad Dir mal "HijackThis" runter, und poste mal dein Log für uns, desweiteren benutze bitte eScan im ABGESICHERTEN Modus (Windows booten --> Gesehen gelacht F8 --> Abgesichert ; wie Du an eScan kommst ist easy, such einfach mal hier im Forum, bin etwas Schreibfaul heute).
Die license.cfg hat rein gar nix damit zu tun ob dein CD Key etc gültig ist, in sofern stimme ich Deiner Vermutung zu, das ganze ist an anderer Stelle eingebaut

Poste einfach mal das log und wir sehen weiter.

Gruß
Andy

Hab mit Antivir den Wurm rbot.cv auf dem MBR gefunden. Hab ihn unterm abgesicherten Modus gelöscht aber er scheint wieder da zu sein...

StartupList report, 20.08.2004, 18:14:53
StartupList version: 1.52.2
Started from : C:\DOKUME~1\SamBroXX\LOKALE~1\Temp\SQZ6.tmp\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\SpeedCommander 9\SpeedCommander.exe
C:\Internet\ZoneAlarm\zapro.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\SamBroXX\LOKALE~1\Temp\SQZ6.tmp\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Steam =
Sw32 = C:\WINDOWS\swatch32.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - c:\programme\AcrobatReader5.1\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = e:\video\quicktime6\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Shockwave ActiveX Control]
CODEBASE = http://download.macromedia.com/pub/s...irector/sw.cab

[ChainCast VMR Client Proxy]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ccpm_0237.dll
CODEBASE = http://www.streamaudio.com/download/ccpm_0237.cab

[{41F17733-B041-4099-A042-B518BB6A408C}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

[EARTPatchX Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\EARTPX.dll
CODEBASE = http://www.ea.com/downloads/rtpatch/EARTPX.cab

[GSDACtl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\gsda.dll
CODEBASE = https://www.gamespyid.com/alaunch.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

Hi Leute!
Ich bins wieder. Ich brauche immer noch dringend Hilfe.
Nachdem ich meinen Rechner jetzt im abgesicherten Modus mit allen möglichen Virenscannern durchgescannt habe und spybot durchlaufen habe scheint der Rechner Virenfrei zu sein... wohlgemerkt im abgesicherten Modus.

Jetzt ist allerdings das Problem das der Rechner im normalen Modus nicht mehr startet.
Nach dem klicken von "Sam anmelden" kommen tausende von Fenstern mit dem Inhalt: "Windows- Datenverlust beim Schreiben" " Es konnten nicht alle Daten für dir Datei xxx gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Daten woanders zu speichern"
Für "xxx" werden alle möglichen seltsamen Dateien angezeigt oder auch C:\Windows\system32\config\config oder
C:\$Mft

Tja, wie gesagt, diese Fenster kommen x-mal und wenn ich alle druchgeklickt habe bleibt Windows stehen.


Wäre echt dankbar wenn einer hilft.

Sam

Hallo Sam00,

wäre es Dir möglich ein HijackThis-Logfile zu erstellen und hier zu posten, bitte? Schau mal hier: http://www.trojaner-board.de/51130-a...ijackthis.html ...

SD

Hier nochmal mein logfile, aber vom abgesicherten Modus leider nur:

Logfile of HijackThis v1.98.2
Scan saved at 10:04:10, on 21.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SpeedCommander 9\SpeedCommander.exe
C:\Programme\SpeedCommander 9\SpeedCommander.exe
C:\DOKUME~1\SamBroXX.SAM\LOKALE~1\Temp\SQZ39.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\AcrobatReader5.1\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] c:\programme\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IpCtrl] C:\WINDOWS\ipcon32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Internet\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Internet\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab

Möglich, dass das System durch die Malware nachhaltig in Mitleidenschaft gezogen wurde. Es kommt durchaus vor, dass bei Installation von Schädlingen diese das System so verändern, dass nach deren Entfernung - soweit möglich - erhebliche Probleme auftreten, z.B. bekannt bei Foistware wie NewDotNet oder 180-Solutions.

Kannst du diese Datei isolieren?
C:\WINDOWS\ipcon32.exe

-> Speichere sie auf Diskette und prüf sie dann bei Kaspersky:
http://www.kaspersky.com/de/scanforvirus

Hab sie grade überprüft, scheint ok zu sein...

Irgendwie scheint es mir so als hätte der Virus einen neuen Benutzer angelegt und versucht bei der anmeldung auf den zuzugreifen.

Alles sehr seltsam...

Bin die ganz Zeit im abgesicherten Modus.

Das gibts doch echt nicht...

Nachtrag: Hab eben nochmal versucht zu starten. Jetzt kommt auch noch das Fenster der bei, ich glaube Sasser war es, immer kam. "blabla... ihr system wir heruntergefahren blabla"
Hab AntiSasser Tools durchgeführt und nix wurde gefunden.

Sam

C:\WINDOWS\ipcon32.exe
Schick die Datei mal zu partytime-germany.ice@web.de

Ansonsten bitte das fixen:
R3 - Default URLSearchHook is missing

So, ich muss mich geschlagen geben.

Hoch lebe der Hacker der mir das eingebrockt hat, du hast gewonnen.

Ich werde mein WinXP neu installieren. Bin grad dabei alles platt zu machen.
Naja, hab auf meiner Windows Partition nicht viel weiteres drauf, deswegen halb so schlimm, aber meine ganzen Programme neu einrichten ist natürlich ärgerlich.

Dann knall ich mir gleich das SP2 drauf (gibts da schon nen Crack? )

Ich schätze die ganzen Probleme hab ich mir eh selbst eingebrockt. War erstens mit einer "Witz CD" von einem Kumpel zu unvorsichtig und zweitens hat mein scheiss F-Prot die Viren dadrauf wohl nicht erkannt.

Danke an alle die versucht haben zu helfen, aber nach 2 Tagen Stress mit meinem Rechner scheint mir die Neuinstallation als die leichteste Lösung. WOllte das eh mal wieder machen.

Falls jetzt noch jemand Tips zum Neueinrichten hat wäre ich auch dankbar.

Gruß an alle
Sam