Juhuu,

Hab an meinem neuen Rechner(WinXP SP2,T-DSL fathpath) eine extrem niedrige downloadrate(<10kbytes/s), außerdem meldete sich des öfteren antivir.

hier die aktuelle log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Marion\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitecoz32.exe
O4 - HKLM\..\Run: [NAV Auto Protect] dnsserv.exe
O4 - HKLM\..\Run: [Microsofts media] wingtp.exe
O4 - HKLM\..\Run: [] win.exe
O4 - HKLM\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\winagent.exe /i
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [System Networking] sysnet.exe
O4 - HKLM\..\RunServices: [NAV Auto Protect] dnsserv.exe
O4 - HKLM\..\RunServices: [Microsofts media] wingtp.exe
O4 - HKLM\..\RunServices: [] win.exe
O4 - HKLM\..\RunServices: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKLM\..\RunServices: [System Networking] sysnet.exe
O4 - HKCU\..\Run: [NAV Auto Protect] dnsserv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{64546FB0-2AC7-4C7E-8574-FD8743149131}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

ich weis nicht mehr was ich noch machen soll außer das system neu aufzusetzen, aber wollt erstmal sehn was ihr sagt.

gruß tom

Zitat:

ich weis nicht mehr was ich noch machen soll außer das system neu aufzusetzen, aber wollt erstmal sehn was ihr sagt.

Ich fürchte, darauf wird es hinauslaufen. Dort sind einige sehr merkwürdige Einträge in der Log-Datei.
Um Gewissheit zu haben, mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

da steht im abgesicherten modus oder geht das auch ohne ?

Es 'geht' auch im normalen Modus, aber das Ergebnis ist unter Umständen verfälscht, wenn im normalen Modus Malware aktiv ist und deswegen nicht gescannt werden kann. Deswegen empfehlen wir für einen Virenscan (insbesondere bei Verdacht auf konkreten Befall) den abgesicherten Modus.

File C:\WINDOWS\ibs.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\dnsserv.exe infected by "Backdoor.Win32.SdBot.lt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\win.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\MSRSS.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\lsass.exe infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ibs.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
File C:\windows\system32\elitecoz32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\dnsserv.exe infected by "Backdoor.Win32.SdBot.lt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\win.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\MSRSS.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msnmsn32.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\tmprbf07a.exe infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\winworks.exe infected by "Trojan-Clicker.Win32.Agent.bt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\work.exe infected by "Trojan-Dropper.Win32.Juntador.c" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marion\LOKALE~1\Temp\suicidetb.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marion\LOKALE~1\TEMPOR~1\Content.IE5\TD9MFPMU\dl[1].exe infected by "Trojan-Downloader.Win32.Agent.il" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Marion\LOKALE~1\TEMPOR~1\Content.IE5\Y9AAYUIA\sideb[1].exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\mcafe32.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{E2179C33-6C7E-4C3A-BD6D-F2E6C9294465}\RP5\A0003201.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{E2179C33-6C7E-4C3A-BD6D-F2E6C9294465}\RP5\A0003179.exe infected by "Trojan-Downloader.Win32.Agent.il" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1SMY47WG\silent_install[1].exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysnet.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\E.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken.


ich hatte die meisten eigentlich schon einmal gelöscht, per hand oder einem antivirusprogramm. wie kommen die wieder auf den rechner? hab die neuste version von antivir und das winxp security dings läuft, firewall ist auch an. egal sieht wohl nach format c:/ aus bei den ganzen backdoortrojaner oder?

gruß tom

Zitat:

egal sieht wohl nach format c:/ aus bei den ganzen backdoortrojaner oder?

Wenn Du wieder Vertrauen in Dein System haben willst, dann bleibt Dir nur dieser Weg.

Beachte bitte dabei diese wirklich gute Anleitung: http://www.trojaner-board.de/showthread.php?t=12154