Ok, ich kann leider nicht viel schreiben, da outlook sich ständig in den vordergrund drängt.
werde nun erstma rebooten.
thx

Logfile of HijackThis v1.99.1
Scan saved at 18:14:15, on 14.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Tools - Brenner & CD\Daemon Tools\daemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Tools - Performance & Security\AntiVir\AVWUPSRV.EXE
D:\Tools - Performance & Security\Process Explorer\procexp.exe
C:\WINDOWS\system32\devldr32.exe
D:\Tools - Performance & Security\AntiVir\AVGUARD.EXE
D:\Tools - Performance & Security\AntiVir\AVGNT.EXE
D:\Tools - Performance & Security\AntiVir\AVWIN.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
G:\Downloads\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
O1 - Hosts: 127.0.0.3 www.greg-tut.com
O1 - Hosts: 127.0.0.3 nylonsexy.com
O1 - Hosts: 127.0.0.3 www.nylonsexy.com
O1 - Hosts: 127.0.0.3 vparivalka.com
O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 www.awmcash.biz
O1 - Hosts: 127.0.0.3 awmcash.biz
O1 - Hosts: 127.0.0.3 buldog-stats.com
O1 - Hosts: 127.0.0.3 www.buldog-stats.com
O1 - Hosts: 127.0.0.3 fregat.drocherway.com
O1 - Hosts: 127.0.0.3 slutmania.biz
O1 - Hosts: 127.0.0.3 www.slutmania.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.megapornix.com
O1 - Hosts: 127.0.0.3 megapornix.com
O1 - Hosts: 127.0.0.3 www.sp2fucked.biz
O1 - Hosts: 127.0.0.3 sp2fucked.biz
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: http://213.159.117.133/dkprogs/hosts.txt
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Tools - Media\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36F7327B-E046-06E6-D50B-61550FA02A1E} - C:\WINDOWS\System32\gmupgy.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\TO992D~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Tools - Brenner & CD\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Norton Updater] C:\windows\NortonUpdate.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Download with NetPumper - D:\Tools - Leecher\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\TO3C74~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\TO3C74~1\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\rsvpsp.dll' missing
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110820277656
O16 - DPF: {65F302EC-BB5B-099B-6306-611A49E10FE7} - http://66.117.37.5/1/rdgDE298.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://213.159.117.133/tb/loader2.ocx
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.globalphon.com/dialer/int...onale_ver4.CAB
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_1020.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BA7A11A-B4F8-4596-8F94-DBDCB0504C8D}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Tools - Performance & Security\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Tools - Performance & Security\AntiVir\AVWUPSRV.EXE

eieiei, das sieht ja echt böse aus...

also, nach dem neustart öffnet sich wenigstens der Outlook Express nimmer (habs ausm msconfig genommen) und ich kann vernünftig schreiben, da der sich nicht nach jedem getippten buchstaben in den vordergrund drängt *grml*

also, ich war jetzt praktisch 3 monate offline, hab grad DSL und zack, alles im eimer
während dem zocken öffnet sich urplötzlich der OE... ich frag mich was los ist, schließe ihn... er öffnet sich wieder! und wieder und wieder bis er ca. 50 mal offen ist. Nach nem reboot immer noch die selbe chose.

Tja, nun hab ich erstma AV Personal gesaugt und drüberlaufen lassen, es hat auch locker 66 würmer, viren und trojaner gefunden und gekillt.

Aber da ist leider noch so einiges mehr, dass ich nicht so leicht wegkriege fürchte ich.

Folgende Files entstehen z.B. sofort nach dem löschen wieder:
dumprep.exe
savedump.exe
devldr32.exe

Dummerweise finde ich die Quelle/Ursache für diese Würmer nicht, d.h. ich kann noch so viel löschen. Bringt ja alles nix, wenn die Dateien sich direkt darauf immer wieder selbst erstellen.

Als nächstes werd ich mal die ganzen Windows Updates + SP2 nachholen.

Leider blick ich auch mit dem Hijack This nich so ganz durch... was bedeutet was um genau zu sein... ich kann nur erkennen, dass da ne menge schrott drauf ist

Soviel zum nötigsten, ich hoffe ihr könnt mich etwas bei meiner Windowsbereinigung etwas unterstützen.

MfG & Thx,
Skatty

Hallo Skatty,

er wäre nett, wenn Du folgende Dateien:

C:\windows\NortonUpdate.exe
C:\windows\sxvhost.exe oder C:\windows\system32\sxvchost.exe

hier uploaden würdest:

http://www.malwareupload.com

Erläuterungen

Desweiteren lass diese Datein hier online-scannen:

http://virusscan.jotti.org

Teile das jeweilige Ergebnis bitte mit.

Deine Probleme liegen in erster Linie an Deinem nicht aktuelle Betriebsystem.
An Deiner Stelle würde ich nach dem Befall, den Du schilderst neu aufsetzen.
Zumal einiges daraufhin deutet, dass da min. ein aktiver Backdoor in Deinem System ist.

Hier eine erstklasige Anleitung: http://www.trojaner-board.de/showthread.php?t=12154

dartus

erstmal danke dartus für deine hilfe.

alle 3 von dir genannten dateien, also
C:\windows\NortonUpdate.exe
C:\windows\sxvhost.exe
C:\windows\system32\sxvchost.exe
scheinen lediglich datenmüll in der registry zu sein, denn diese dateien existiert nicht (mehr) in den verzeichnissen.

hab aber mal die folgenden files hochgeladen:

bei jotti kam folgende meldung:
File: dumprep.exe
File: savedump.exe
File: devldr32.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

--------------------------------
hatte ohnehin vor, mein system neu aufzusetzen, sobald ich ne registrierungsfrie xp version hab... aber kann noch n weilchen dauern und solang hoffe ich, dass ich halbwegs sicher bin ^^
aber dann werd ich auf jeden fall die anleitung verwenden *g*

krieg ich ne backdoor insofern auch dicht bzw. den backdoorexploit vom sys runter, ohne neu aufzusetzen? wenn man so will, als übergangslösung?

Hallo Skatty,

wenn diese beiden Dateien Datenmüll wäre, würden sie nicht in Deinm Log auftauchen. ( "C:\windows\sxvhost.exe" oder "C:\windows\system32\sxvchost.exe"
Hast Du das so eingestellt:

Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg" und "Alle Dateien und Ordner Anzeigen" anklicken

hier was zum Thema Backdoor:

http://www.mathematik.uni-marburg.de...ompromise.html
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030

dartus

was ich meinte ist, dass diese 3 dateien doch nurnoch registry einträge sind.

ich bin sicher kein neuling und ja, meine ordneroptionen sind korrekt eingestellt (alle dateien, keine ausblenden usw.)

was mich viel mehr stutzig macht sind eigentlich die ganzen
O1 - Hosts: 127.0.0.3 ...
und
O15 - Trusted Zone: ...

da ich keine der dort aufgeführten seiten jemals besucht hab. welche bedeutung haben die denn?

btw. sind im aktuellen log alle O1 Hosts verschwunden, bis auf:
O1 - Hosts: http://213.159.117.133/dkprogs/hosts.txt


thx für die links zum thema Backdoor

@Skatty
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman