Hi!

Der Upload meines Rechners ist total verstopft und bei "netstat" werden viele viele Verbindungen angezeigt.

Ich habe win2k und glaube, ich bin ziemlich von Viren befallen. Ich benutze Antivir (der mit dem Schirmchen), der findet ab und zu etwas namens "180 Solutions".

CWShredder hat keine Ergebnisse gebracht und hier ist die Log von HijackThis:

(Bitte helft mir und gebt mir Anweisungen/Tips)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVWin\AVESVC.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\dllman.exe
C:\WINNT\System32\SystemReg16.exe
C:\WINNT\System32\rtnfs.exe
C:\WINNT\System32\Recycled.exe
C:\WINNT\System32\VSStatmn32.exe
C:\WINNT\system32\defragfatx.exe
C:\WINNT\System32\scvhost.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINNT\system32\windns.exe
C:\WINNT\System32\gdvuiz.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\winproxy.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Opera\opera.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.hispeed.ch:8080;http=proxy.hispeed.ch:8080
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [Windows Online Updater] dllman.exe
O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\Run: [Windows_Protect] rtnfs.exe
O4 - HKLM\..\Run: [There is God?] Recycled.exe
O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system32\defragfatx.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S1G1Pen] C:\WINNT\jbycq.exe
O4 - HKLM\..\Run: [winmgr.exe] scvhost.exe
O4 - HKLM\..\Run: [Winproxy Personal] winproxy.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\windns.exe
O4 - HKLM\..\Run: [Internet Servcies] gdvuiz.exe
O4 - HKLM\..\Run: [Windows Compliant] vyhgeo.exe
O4 - HKLM\..\Run: [sbiv] C:\WINNT\sbiv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe
O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKLM\..\RunServices: [Windows_Protect] rtnfs.exe
O4 - HKLM\..\RunServices: [There is God?] Recycled.exe
O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe
O4 - HKLM\..\RunServices: [winmgr.exe] scvhost.exe
O4 - HKLM\..\RunServices: [Winproxy Personal] winproxy.exe
O4 - HKLM\..\RunServices: [Internet Servcies] gdvuiz.exe
O4 - HKLM\..\RunServices: [Windows Compliant] vyhgeo.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe
O4 - HKCU\..\Run: [Windows_Protect] rtnfs.exe
O4 - HKCU\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe
O4 - HKCU\..\Run: [Winproxy Personal] winproxy.exe
O4 - HKCU\..\Run: [Windows Compliant] vyhgeo.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=




Danke im Voraus!

Hallo,

z.B der hier ist auf dem Rechner: http://www.sophos.de/virusinfo/analyses/w32rbotek.html

Das bedeutet leider dies hier: http://trojaner-board.de/showthread.php?t=12154

Genau nach Anleitung!


Gruss

Btw poste bitte auch mal die Angaben zum System also mach mal ein neues Log!

Danke für die schnelle Antwort.

Bist du dir allerdings ganz sicher, dass dieser Wurm nicht einfach durch Patches und Software zu beheben ist?

Ich habe absolut keine Lust 12 GB für mich wichtiger Daten auf CD-Rom sichern zu müssen.

@soundgarden behebbar wäre es schon. allerdings hättest du dann nie die sicherheit, dass dein system wirklich sicher ist. (der backdoor hätte schon längst systemdateien überschreiben oder verändern können)
Es is eben das beste, wenn du neuinstallierst.

Zitat:

Zitat von Soundgarden

Danke für die schnelle Antwort.

Bist du dir allerdings ganz sicher, dass dieser Wurm nicht einfach durch Patches und Software zu beheben ist?

Ich habe absolut keine Lust 12 GB für mich wichtiger Daten auf CD-Rom sichern zu müssen.

Es ist ja nicht NUR der eine,btw ist das schon eine Verharmlosung in meinen Augen,dein Rechner gehört sofort vom Netz,da is nix zu "reparieren" oder so!


Gruss

Zusatzfrage:

Kann ich für das Backup meine HD als Slave an einen anderen Rechner anschliessen oder sind das Viren, die die Master HD befallen würden?

Was meint ihr?

Hallo? Kann mir das keiner beantworten?