Hi ihr, hab seid heute ein prob und zwar schaue ich immer mit dem Reg cleaner und dem Affengriff ob ich irgendwas verdächtiges finde. Wenn das der fall ist beende ich den Prozess entferne ihn aus der reg und lösche ihn unter der Eingabeaufforderung. Nur! diesmal klapp das nicht. er das prog ist immer nur kurz im taskmanager und verschwindet dann. Im Regcleaner kann ich auch nichts komisches finden. nur das meine Firewall sctatt 3 einträge nur noch 2 hat. naja auf jedenfall hab ich mal diese HJT benutzt und poste hier einfach mal. maybe kann mir da ja jmd helfen.

---

Logfile of HijackThis v1.98.2
Scan saved at 03:54:56, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Antonio Montana\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\\Steam.exe -silent
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2722420A-4284-4CF3-9D6B-34A0C33CD7FE}: NameServer = 217.237.151.161 217.237.151.33

Hi, lösche erst mal das:

O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.c...nsearchi e32.exe
und dann poste noch mal.
LG, Charlie

Jo hab ich gemacht. hier der neue scan:

Logfile of HijackThis v1.98.2
Scan saved at 15:26:06, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Antonio Montana\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\\Steam.exe -silent
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2722420A-4284-4CF3-9D6B-34A0C33CD7FE}: NameServer = 217.237.151.161 217.237.151.33

Meiner Meinunng nach ist es mit den löschen bzw. fixen nicht getan!

O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
siehe http://www.sophos.de/virusinfo/analyses/w32rbotbz.html

Zitat:

Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.

Mein Vorschlag: Scanne dein System mit eScan im abgesicherten Modus und poste was gefunden wurde. Falls dieser Backdoortrojaner jedoch aktiv war, bleibt als sicherste Lösung nur das ->http://www.trojaner-board.de/showpos...28&postcount=2

Naja ich habe über 40 gb wichtige Sachen. Also kommt das neu aufsetzen nicht wirklich in frage. Beim Symantec Online Scan gab es folgendes Ergebnis:


C:\WINDOWS\system32\.pif ist infiziert mit Download.Trojan
C:\WINDOWS\system32\msjp32.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\msnmsgrr.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\rpc.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\wuanclt.exe ist infiziert mit W32.Spybot.Worm
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L1C3FMYP\newreply[1].htm ist infiziert mit Bloodhound.Exploit.6
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temp\yqhwzymxc.exe ist infiziert mit W32.Spybot.Worm
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temp\yrrdxmquc.exe ist infiziert mit W32.Spybot.Worm


das sieht doch schonmal ziemlich schlecht aus oder???

Zitat:

das sieht doch schonmal ziemlich schlecht aus oder???

Ja!

1.) es wäre besser gewesen, du hättest eScan durchgeführt als den Symatec OnlineScan.
2.) Ich bleibe bei meiner Meinung, nämlich dass dein System nicht mehr vertrauenswürdig ist!
3.) Ob du den Rat befolgst oder nicht bleibt dir überlassen, obwohl solch ein System natürlich nicht nur für dich sondern auch für andere Internetnutzer eine Gefahr darstellt!

mfg Haui

Zitat:

Naja ich habe über 40 gb wichtige Sachen. Also kommt das neu aufsetzen nicht wirklich in frage.

Dann musst du dich eben im Vorfeld mit der Materie auseinandersetzen und dein System vernünftig absichern und einige Grundregeln im Umgang mit dem Internet beachten, dann kann sowas nicht passieren.

btw:
Was machst du eigentlich mit deinen 40 GB wichtige Dateien, wenn deine Festplatte mal das zeitliche segnet?

naja ihr sagt das so leicht. Aber hab echt keine Ahnung wie ich 40 GB sichern soll. Wieso stelle ich für andere ein Risiko dar? gibt es absolut null was ich machen kann als Alternative?

Zitat:

Zitat von ^^..^^

Wieso stelle ich für andere ein Risiko dar?

Weil Dein Rechner unter Umständen als Wurmschleuder aktiv ist und damit andere Surfer bedroht!

Zitat:

Zitat von ^^..^^

gibt es absolut null was ich machen kann als Alternative?

Nichts, was Dir eine halbwegs vertrauenswürdige Person raten kann!

Wenn Du wissen willst, was sich so alles auf Deinem Rechner tummelt, mach den von Haui45 vorgeschlagenen Scan mit eScan.

Wenn diese 40GB wirklich sooo wichtig sind, frage ich mich allerdings auch, wie Du Dich bspw. vor einem Plattenausfall hättest schützen wollen...
BTW: Ich nehme nicht an, dass es sich um eine Datei in dieser Größe handelt. Also 'häppchenweise' auf CD/DVD sichern und dann das System neu machen.

ok. werde ich machen. allerding gibt es da noch ein prob

und zwar: ich komme nicht in den Abgesicherten Modus. kann es sein das ein Trojaner das verhindern kann?

mfg

Zitat:

ok. werde ich machen. allerding gibt es da noch ein prob

und zwar: ich komme nicht in den Abgesicherten Modus.

Diese Problembeschreibung ist nicht sehr aufschlussreich. Wieso kommst du nicht in den abgesicherten Modus? Hast du mal probiert die "F8-Taste" kurz nach dem einschalten lange bzw. sehr oft zu drücken?

Ja klar. ahbe die f8 taste gedrück. dann kommt das menü zum auswählen. gibt glaub 3 verschiedene Abgesicherte mods.Allerdings kommt nach dem auswählen nur kurz was und dann blinkt nur links oben ein
_


und der Bildschirm bleibt Schwarz :/

@^^..^^
http://www.trojaner-board.de/63335-w...s-starten.html


chaosman

ok, werde ich dann mal machen. poste dann obs geklappt hat!

ok hate de ganze nacht den Pc aus und hat trotzdem nicht gefunkt :/ verdammt!