Hi Leute

Ich habe folgendes Prob.:
Ich kann auf keine seiten mehr auf denen ich mich einloggen muss wie z.b.
bei ebay "Mein Ebay" was kann ich tun?

Habe hier das Logfile:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\system32\ZoneLabs\minilog.exe
C:\WINDOWS\soundman.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\WT-RATE\WT_RATE.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Skype\Phone\Skype.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Marc\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WT-Rate] C:\PROGRA~1\WT-RATE\WT_RATE.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f008.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68238854-09B3-4D8A-BB4B-88E478B61109}: NameServer = 192.168.0.1
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@Simola
du hast diesen im system
http://uk.trendmicro-europe.com/smb/...BOT.NI&VSect=O
und zwar hier
O4 - HKCU\..\Run: [MS Manager32h Startup] manager32h.exe

deswegen kann ich dir nur raten dein system neuaufzusetzen(FormatC)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

sry

chaosman

kann man den net irgndwie "einfach" löschen?

können tut man es schon. allerdings ist das problem dabei, dass niemand nachvollziehen kann, was an deinem system bereits verändert wurde. eine Neuinstallation ist also unabdingbar.

Zitat:

kann man den net irgndwie "einfach" löschen?

Doch kann man schon, aber du weißt nicht, was schon alles am System verändert wurde.
Informationen dazu:
Über die Entfernung von Schädlingen
http://www.trojaner-board.de/showpos...9&postcount=73
http://www.trojaner-board.de/showpos...0&postcount=77

@Simola
kann man den net irgndwie "einfach" löschen?
nein, lese hiermal durch
Description:
This worm spreads via network shares. It copies itself to the default shared folders of accessible machines. It also uses a predefined list of user names and passwords to gain entry to remote systems. This worm takes advantage of the following Windows vulnerabilities:

* Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
* Windows LSASS vulnerability

For more information about these Windows vulnerabilities, please refer to the following Microsoft Web pages:

* Microsoft Security Bulletin MS03-026
* Microsoft Security Bulletin MS04-011

It also has backdoor capabilities. Using a random TCP port, it may execute remote commands on the host machine. The said remote commands may include file execution, information theft, and ping attacks against remote systems.

betrachte dein system als kompromittiert
http://www.mathematik.uni-marburg.de...ompromise.html


setze bitte neuauf, dein system ist nicht mehr vertrauenswürdig

chaosman

Hab grade gemerkt das der Wurm schon vor 4 Tagen von Antivir in Quarantäne gesetzt wurde nützt mir das was?

wir können aber trotzdem nicht wissen ob er vor den 4 tagen nicht bereits aktiv war. dann ist das risiko weiterhin groß.

@Simola
wielange war er im system?
wielange war er aktiv?
was hat er geändert in diesen Zeit?

Nochmals, setze bitte dein system neuauf, ist am sichersten.

EOD
chaosman

Da die Registry-Einträge schon erstellt sind, ist davon auszugehen, dass die Malware bereits aktiv war.

WARUM hab ich immer so große probleme das ich formatieren muss!!

Was wäre denn die schlimmste folge die ich erleben könnte?

Und bitte so das auch ich es verstehe.
Danke

P.S.: Was ist ne Malware?

Malware=Schadsoftware

Zitat:

Was wäre denn die schlimmste folge die ich erleben könnte?

Weiß nicht, was die schlimmste Folge wäre, aber eine der schlimmsten wäre sicherlich die, dass die Polizei vor deiner Tür steht und dich und deinen Computer mitnimmt...

Warum??!!?!

ICH hab doch nix gemacht!

Ausser nicht auf euch gehört!

Lies mal diese Links:
http://www.heise.de/newsticker/meldung/51689
http://www.heise.de/newsticker/meldung/44869

Aber dafür kann ich doch nix?

Wenn sie mich mitnehmen können sie mich also wieder heim schicken.

Nee Spass bei Seite kann ich net nur die Partition bzw. Festplatte Formatieren?