hab mein xp formatiert weil ich einen hijacker nicht entfernen
konnte, hijacker is weg, aber nu hab ich tausende von diesen
W32 Würmern...ka ob ich die nun los bin oder nicht. habe einfach alle dateien und
registrierungseinträge gelöscht die norton mir gesagt hat, oder von denen ich
wusste dass sie zum wurm gehören (winregs32.exe, crsss.exe,msa.exe, msdiag32.exe,
den rest habsch vergessen), seit dem meckert norton auch nicht mehr
(remote versucht auf win32 lala irgendwas zuzugreifen
bzw remote mein computer win32 versucht was von anderen abzuhören,
das kam auch wenn ich gar nicht im netz war, kann das n dialer
oder so sein? hab dsl, d ageht das doch gar net, oder?)
so und da ich mir nicht vorstellen kann dass wenn ich in der reg
rumpfusche alles wieder heile ist (war irgendwie zu einfach).
Sind die Würmer nu richtig weg oder ausgeschaltet?
hab ich mal den taskmann befragt und der hat folgendes ausgespuckt:
(dit und alg sind doch auch irgendwas seltsames, oder?)


svchost.exe (System)
savscan.exe (Sarah-bob)
alg .exe (Lokaler Dienst)
LUCOMS~1.EXE (Sarah-bob)
LUALL.exe (Sarah-bob)
taskmgr.exe (Sarah-bob)
CCPROXY:EXE (System)
CCEVTMGR.EXE (System)
SNDSrvc.exe (System)
CCSETMGR.EXE (System)
svchost.exe (lokaler Dienst)
svchost.exe (Netzwerkdienst)
svchost.exe (System)
javaw.exe (Sarah-bob)
svchost.exe (Netzwerkdienst)
svchost.exe (System)
lsass.exe (System)
services.exe (System)
winlogon.exe (System)
csrss.exe (System)
smss.exe (System)
winamp.exe (Sarah-bob)
SymWSC.exe (System)
CalCheck.exe (Sarah-bob)
msmsgs.exe (Sarah-bob) ..klingt auch böse...
CCAPP.EXE (Sarah-bob)
iexplore.exe (Sarah-bob)
atiptaxx.exe (Sarah-bob)
Dit.exe (Sarah-bob)
rundll32.exe (Sarah-bob) böse, oder?
scardsvr.exe (Lokaler Dienst)
spoolsv.exe (System)
explorer.exe (Sarah-bob)
jusched.exe (Sarah-bob)
explorer.exe (Sarah-bob)
NAVAPSVC.EXE (System)
System (System)
Leerlaufprozess (System)

weiss jemand was dieses svchost.exe ist? das hab ich immer 5-6 mal im taskmanager...

EDIT: NEUE PROZESSE: wuauclt.exe | realshed.exe


hilfe ich mag net schon wieder formatieren

fuß, Peechen

___________________
XP STINKT!!

Poste bitte ein Log mit HijackThis hier her!

http://filepony.de/download-hijackthis/

Zitat:

hab mein xp formatiert ...nu hab ich tausende von diesen
W32 Würmern...Sind die Würmer nu richtig weg oder ausgeschaltet?

Weder noch. Das einzig vernünftigste wäre abermals ein Neuaufsetzen deines Systems mit anschliessender Absicherung VOR der ersten I-net Verbindung!
Gehe wie folgt vor: http://www.trojaner-board.de/showpos...28&postcount=2

Die von dir aufgezählten Dateien sind grösstenteils Würmer mit Backdoor Funktionalität, wie z.B. http://www.sophos.de/virusinfo/analyses/w32rbotrh.html :

Zitat:

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus

geilo, danke. bis eben hatte ich die ilusion mit dem rumlöschen in der reg alles wieder heile gemacht zu haben gg
naja werd ich nochma formatieren. hab mir sp2 auf cd besorgt, damit ich nich ins netz muss zum installieren.
superdolle danke für den link mit der anleitung ich drucks mir aus und werd dann alles ganz genauso machen. wird schwer hab da keinen plan von mit den konten und so...
aber punkt 10 hab ich mir schon ans herz gelegt

danggeschööön

hallo herr kautz, das HijackThis spar ich mir, is ja unheilbar was ich da hab

Zitat:

schwer hab da keinen plan von mit den konten und so

Wenn du dich am Desktop befindest, drückst du die Taste F1 (Hilfe & Support) und gibst als Suchbegriff "Benutzerkonten" ein.

moin du
merci...mach ich mich mal ans werk...wenn ich nich heut nachmittag bericht erstatte hab ich die kiste aus dem fenster geschmissen gg
gruß, dat Püü

sooo....habsch formatiert...und beim ersten hochfahren die gleichen prozesse wie voher kann der wurm (oder die würmer..) auch auf ner anderen partition sein? norton hat da nch nie was gefunden.
hab aber trotzdem alles nach anleitung gemacht, bin jetzt mit nem eingeschränkten konto drin...mit netscape, win + norton-firewalls an und aktuell, windows aktuell, usw
ieks, muss ich mein adminkonto eigentlich abmelden wenn ich ins netz will, oder reicht benutzer wechseln? EDIT2: die verbindung läuft auch beim adminkonto...muss das aber anlassen, weil ich über das eingeschränkte keine mucke hören kann verschiedene inetverbindungen basteln?

ich hab immernoch oft das meckerfenster mit dem "microsoft generic host versucht lalala win32 services zuzugreifen oder so ählich." bzw. "ein remotesystem versucht auf win32 lala ka zuzugreifen"

hab ein programm auf meinem pc gefunden was mir komisch vorkommt, remoteunterstützung. da stand: "Ermöglicht Ihnen, einen Bekannten aufzufordern, eine Verbindung mit Ihrem Computer herzustellen und Ihnen mit Computerproblemen zu helfen." -> hab ich gelöscht, will ich nicht

dann hab ich auf meiner D partition auf einmal nen ordner "dokumente und einstellungen" , da is eine datei "URLLists" von symantec drin. ich hab das da nich hingepackt. löschen?

EDIT: das automatische hijackauswertungsding hat gesagt alles gut ausser O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe, der is unbekannt. kann man sich da drauf verlassen? weil dann tu ich mich schonmal ein bischen freuen

so...nu nochma 2 hijacklogs:

(Adminkonto)
Logfile of HijackThis v1.99.0
Scan saved at 09:14:57, on 23.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Gott\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103785160196
O17 - HKLM\System\CCS\Services\Tcpip\..\{952FD178-9F31-4312-B90B-75A5080C35B9}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

(eingeschränktes konto)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Pee\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103785160196
O17 - HKLM\System\CCS\Services\Tcpip\..\{952FD178-9F31-4312-B90B-75A5080C35B9}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

so genug genervt jetzt

@Pee
in beide logfiles sehe ich nichts auffälliges
chaosman

danka danke danke mein baby is heile, chaos ich liebe dich
und wehe cidre sagt was anderes-.- gg
is nu alles wieder gut *behaupt

ganz dolle danke für die tipps an alle

ich hab blos probleme mit den konten, muss manche programme doppelt installieren, weil die im eingeschränkten nich funzen. ausserdem hab ich festgestellt dass ich mit dem adminkonto auch online bin, obwohl ich im eingeschränkten konto ins netz gehe...verschiedene verbindungen gehn auch nich...das ja dann voll sinnlos mit den konten oder? aber egal. hauptsache kiste is ma sauber, ich werd nie wieder was runterladen

gruß & fuß,
peechen

ih nochma ne frage: kann ich mir meine homepage verseucht haben? hab neulich (während des wurmbefalls) mit dem IE was hochgeladen...