Hi,

Hier mal mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:31:03, on 04.12.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Utilities\NProtect.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\Explorer.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System32\taksmgr.exe
C:\WINNT\System32\internat.exe
C:\DOKUME~1\BRBELK~1\LOKALE~1\Temp\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Windows Compliant] kuhpna.exe
O4 - HKLM\..\Run: [Start Upping] taksmgr.exe
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalveys32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] kuhpna.exe
O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Start Upping] taksmgr.exe
O4 - Startup: Verknüpfung mit T-DSL.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAA20911-2BF5-464E-A0AD-FB4F8E8955FB}: NameServer = 217.237.151.33 217.237.149.225

Hoffe er ist sauber.

Danke für eure Hilfe.

Gruss Christoph

@cdyago
Hoffe er ist sauber.
nicht ganz
http://www.sophos.de/virusinfo/analyses/w32rbotqk.html
C:\WINNT\System32\taksmgr.exe
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"


diese 2 dateien
C:\winnt\system32\kalveys32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] kuhpna.exe
hier überprüfen lassen

falls eine der dateien nicht zu finden ist, dann

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

bereite dich geistig auf ein neuafsetzen vor, den der C:\WINNT\System32\taksmgr.exe
reicht schon aus, um dir das zu empfehlen.
heir ein paar tips
http://www.trojaner-board.de/showpos...28&postcount=2


chaosman

was soll ich jetzt genau machen??

Habe das gemacht was du gesagt hast nur findet mein norton nichts bei taksmgr.exe soll das nicht taskmgr.exe heissen??

Welche logfiles soll ich entfernen??

Will ihn nicht platt machen, hab keine zeit und lust dazu.

Danke für deine Hilfe.

PS: Es taucht deöfteren ein popup auf mit irgendwas wie :''Search result for Poker Online'' wie bekomm ich das weg?? Und im Winnt ordner installiert sich nach jedem hochfahren der ordner Elitetoolbar, wie bekomm ich das weg??

@cdyago

was soll ich jetzt genau machen??
neu aufsetzen, dein system ist kompromittiert.
http://www.mathematik.uni-marburg.de...ompromise.html

Habe das gemacht was du gesagt hast nur findet mein norton nichts bei taksmgr.exe soll das nicht taskmgr.exe heissen??
C:\WINNT\System32\taksmgr.exe = ein BAckdoorTrj !!
wenn Norton den nicht findet?
hier mehr infos dazu, bitte auch lesen
http://www.sophos.de/virusinfo/analyses/w32rbotqk.html

Welche logfiles soll ich entfernen??
keins, ist schon zu spät

Will ihn nicht platt machen, hab keine zeit und lust dazu.
es bleibt dir wohl kaum was anderes übrig siehe obenerwähnten Link.

chaosman

hab ihn doch erst neu gemacht, was kannich denn jetzt machen damit das nicht schon wieder passiert??? Sobald ich eine internet verbindung habe kommt der mist, ich hab gar keine chance mich zu schützen.

wie macht ihr das??
bin so vorgegangen:

BS drauf, treiber, norton, internet, dann alle anderen programme.

Zitat:

... ich hab gar keine chance mich zu schützen.

Doch hast du:
du musst nach der verlinkten Anleitung vorgehen, d.h. vor der ersten Internetverbindung das System updaten (SP4 ist aktuell für Windows 2000), Windowsfirewall aktivieren, unnötige Dienste abschalten, IE sicher konfigurieren usw.......