achso. ich hab gedacht dass er die festplatte ganz formatiert hat. (empfiehlt sich bei solchem ungeziefer) aber so isses natürlich klar, dasser wiederkommt btw dableibt.

@ chris
Hab ich auch gedacht; aber irgendwas stimmt nicht. Deshalb möchte ich gern die eScan Ergebnisse abwarten, um zu sehen, was er wirklich drauf hat.
Wobei ich vermute, daß eine erneute Neuinstallation (diesmal aber richtig) nicht ausbleibt

hm ja da hast du warscheinlich recht @cacatoa naja warten wir mal auf die escan ergebnisse

tjo da muss ich euch wohl bis morgen vertrösten.. escan is kurz vor ende abgestürzt..
wobei 17 viren erkannt wurden. allerdings wurde auch mirc.exe zb als virus erkannt was ja an sich nur nen chattool ist und nen ati treiber ebenso Oo

was bedeuten die angezeigte errors bei escan? hatte 27 :>

ich werd gleich esccan nochmal starten

errors sind normalerweise wenn er die datei nicht lesen kann (kommt vor wenn diese von windows verwendet wird). aber das escan abstürzt.. wirklich blöd.. achja mirc wird eben als tool erkannt, ist aber auch nur ein tool (stimmt in gewisser weise auch; escan erkennt nur, das es ein irc tool ist)
und bei ati genauso.
aber... moment mal! die mwav.log ist doch weiterhin gespeichert. der log wurde nur nicht weitergeschrieben! bitte poste den log btw das ergebnis wie cacatoa es sicherlich bereits beschrieben hatte. er ist wenn ich mich nicht irre nicht gelöscht.
wenn er es vergessen hat dann mach es so:
öffne die mwav.log gehe auf Bearbeiten, dann auf Suchen, gebe dann infected ein und suche schließlich weiter. die treffer postest du dann

ok hier mein escan log Oo evtl komm ich ja doch um ne formatierung rum >:? im moment scheint wieder alles stabil zu laufen :>


File C:\WINDOWS\System32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR00 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR01 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR02 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
File F:\DAP\Temp\LDN89F.tmp tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\atiodtc18a.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\blabla\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\mirc616.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\GamerIrc\Gamers.IRC\backup\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.03. No Action Taken.
File F:\GamerIrc\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\mIRC\backup\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.12. No Action Taken.
File F:\mIRC\download\flashfxp.v2.0.build.905.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\System Volume Information\_restore{77703D63-E6E1-4E30-8018-08CC96EE35EA}\RP22\A0006754.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File F:\System Volume Information\_restore{77703D63-E6E1-4E30-8018-08CC96EE35EA}\RP22\A0006755.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File F:\System Volume Information\_restore{8BE96644-CCFF-4AB5-A295-1741174B07C0}\RP9\A0005215.exe tagged as not-a-virus:RiskWare.IRC.6.03. No Action Taken.

@ despi
Aktive Backdoor-Trojs bedingen immer ein Neuaufsetzen des Systems. Halte Dich genauestens an die Hinweise in dem Link, damit nicht wieder die ganze Arbeit umsonst war.
Das hier hast Du drauf:
Einen aus der RBot-Reihe
einen aus der Forbot-Reihe.
Somit bleibt dir leider nichts anders übrig!
Melde Dich nach dem Neuaufsetzen mit einem neuen HJT-Log.
Sorry, cacatoa

aber wie vermeide ich das nach dem Neuaufsetzen die teile wiederkommen... was nach 4mal schon der fall war ?
ich mein ich hab formatiert windows installiert dann direkt sp1..wobei ich dafür ja schon ins inet muss
hab diw xp firewall angemacht..
hab mozilla benutzt und nix anderes gemacht als mein windows upzudaten...
und trotz ALLEM kamen die biester immerwieder
und im link steht ja nix anderes als die vorgehensweise die ich sowieso schon benutzt habe.

Vor mittwoch werde ich dazu allerdings nicht kommen..
schreibe dafür zuviel klausuren und Referate müssen auch abgehalten werden.
bis mittwoch :>

Despi

@Despi
hier ein paar tips zum neuaufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2
überdenke auch mal dein surfverhalten
ber wie vermeide ich das nach dem Neuaufsetzen die teile wiederkommen... wie ncah den letzten 4mal schon ?
chaosman

Ganz einfach:
halte dich genauestens an die Vorgehensweise in dem Link von cidre, den ich Dir geschickt habe. Lies außerdem vorher unbedingt das: Kompromittierung vermeiden.
Neuaufsetzen heißt nicht Windows neu aufspielen, sondern format C:\ !!
cacatoa

ich meld mich mittwoch wieder :/ vorher hab ich keine zeit für den kram .. klausuren udn referate stehen an

Falls du dich tatsächlich genau an die Anweisungen gehalten hast, dürfte wohl Software, die du runtergeladen und wieder installiert hast, infiziert sein. Solange du die immer wieder neu mit installierst, nützt das Neuaufsetzen natürlich gar nichts.

soooo ich meld mich zurück
hier meien aktuelle hijack-log:

Logfile of HijackThis v1.99.0
Scan saved at 22:24:27, on 17.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\AVPersonal\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\rundlI32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunServices: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunOnce: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows TM] rundlI32.exe
O4 - HKCU\..\RunOnce: [Windows TM] rundlI32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105994690995
O17 - HKLM\System\CCS\Services\Tcpip\..\{501E145A-8463-4C83-91F9-4D1231DA3909}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE

hatte trotz allem nun aber schon wiede Probleme, und zwar nt autoriitätssystem blabla system wird runtergefahren blub.
ich hoffe man sieht des im hijack, escan lass ich auch noch drüberlaufen

mfg

Despi

pls kann mir das irgendwer auswerten ?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\host32.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
F:\HLSW\hlsw.exe
F:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwalert...Security+Suite (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\RunServices: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [Sygate Personal Firewall] host32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106079539859
O17 - HKLM\System\CCS\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe <- verdächtig oder?
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat:

pls kann mir das irgendwer auswerten

Setz dein System neu auf und halte dich genau an diese Anleitung!