Hallo zusammen,

Ich habe hier schon etliche Seiten gelesen, um mich ein wenig vertrauter mit diesen ganzen Dingen zu machen, hätte schon viel eher passieren müssen ,aber ...

Ich habe eScan so durchlaufen lassen, wie hier beschrieben wurde.
Auch habe ich Hijack im abgesicherten Modus einmal durchlaufen lassen.
Ferner poste ich auch noch ein paar Sachen, was ein paar einzelne Sachen betrifft...
Hab die Hoffnung, dass vielleicht noch was zu machen ist, was einer erneuten Formatierung, durch die ich mich eines Wurmes entledigte, der ne defragfatz.exe erstellt, entgehen könnte.

Vielen Dank schon mal jetzt, ist echt ne klasse Seite und Möglichkeit hier... :aplaus:


Logfile of HijackThis v1.99.0
Scan saved at 12:37:27, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\MEINER~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [pcEXPLODE] specialfile.exe
O4 - HKLM\..\Run: [Windows Compliant] mnsvxb.exe
O4 - HKLM\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKLM\..\Run: [VGA Startup] vgacard.exe
O4 - HKLM\..\Run: [Windows Online Updater] dllman.exe
O4 - HKLM\..\Run: [Sygate Personal Port] crss.exe
O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [pcEXPLODE] specialfile.exe
O4 - HKLM\..\RunServices: [Windows Compliant] mnsvxb.exe
O4 - HKLM\..\RunServices: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKLM\..\RunServices: [VGA Startup] vgacard.exe
O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe
O4 - HKLM\..\RunServices: [Sygate Personal Port] crss.exe
O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pcEXPLODE] specialfile.exe
O4 - HKCU\..\Run: [Windows Compliant] mnsvxb.exe
O4 - HKCU\..\Run: [VGA Startup] vgacard.exe
O4 - HKCU\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKCU\..\Run: [Sygate Personal Port] crss.exe
O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106437916241

eSscan hat folgendes angezeigt :

File C:\WINDOWS\system32\specialfile.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mnsvxb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\IExplore32b.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\vgacard.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\dllman.exe infected by "Backdoor.Win32.Rbot.fi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\crss.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\SystemReg16.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\msconfg.exe infected by "Backdoor.SdBot.jg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\akrypv.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\lsass135c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\OfficeGUI32cb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\rguhhj.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\rztzxt.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\TFTP1924 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\uijzrv.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wzjvdj.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\akrypv.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\lsass135c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\OfficeGUI32cb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\rguhhj.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\rztzxt.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\TFTP1924 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\uijzrv.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\wzjvdj.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

*grummel

Ich hab die specialfile.exe unter anderem auch mal bei dem jotti-scan getestet :

Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
EXESTEALTH, MORPHINE, ASPACK

AntiVir
No viruses found (0.16 seconds taken)
Avast
Win32:SpyBot-A437 (1.51 seconds taken)
BitDefender
Backdoor.RBot.8592A186 (1.93 seconds taken)
ClamAV
No viruses found (0.46 seconds taken)
Dr.Web
Win32.HLLW.MyBot.based (0.77 seconds taken)
F-Prot Antivirus
W32/Spybot.BUA (0.07 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen (1.01 seconds taken)
mks_vir
Trojan.Rbot.Gen (0.21 seconds taken)
NOD32
Win32/RBot.AUQ (0.39 seconds taken)
Norman Virus Control
W32/Spybot.ARA (0.13 seconds taken)



Und der Spybot hat mir das ausgespuckt:


--- Search result list ---
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DoubleClick: Verfolgender Cookie (Internet Explorer: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Opera 4+: meinereiner) (Cookie, nothing done)


Was auch immer das bedeuten mag

wow!
so eine harte backdoor durchseuchung hab ich noch nie gesehen!
vorhin dachte ich ich hätte den durchseuchtesten gesehen aber jetzt weiß ich es besser.
sofort neuinstallieren und diesen Link beachten!
dein System ist eine reine Virenschleuder.