Hallo,

les schon seit 2 Stunden mit...aber bin zum ersten mal da. Gestern habe ich zum ersten mal in meinem Leben Format C: durchgeführt weil garnix mehr ging...jetzt alles neu aufgesetzt und trotzdem findet Antivir ständig einen Wurm....so ca. alle halbe Stunde schlägt es an....deswegen schaut mal bitte drüber und helft einem noob

Logfile of HijackThis v1.99.1
Scan saved at 18:02:42, on 29.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Winregs326a.exe
C:\WINDOWS\system32\IExplore327.exe
C:\WINDOWS\system32\MSSCKD32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\MSSCKD32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Bjoern\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKLM\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MS Microsoft Socket Deamon] MSSCKD32.exe
O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKLM\..\RunServices: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\RunServices: [MS Microsoft Socket Deamon] MSSCKD32.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Registry Checkup System326a Monitor] Winregs326a.exe
O4 - HKCU\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\Run: [MS Microsoft Socket Deamon] MSSCKD32.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62.../bridge-c7.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6730BE-9348-4453-AC5A-4D466F7B5096}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINDOWS\System32\keyboard.exe (file missing)
O23 - Service: Network Monitoring Support (Netmon) - Unknown owner - C:\WINDOWS\System32\Netwmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@Kampfgurke
du kannst entweder gleich neuaufsetzen, hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

oder es mit escan versuchen
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Ok...er scannt noch...einen Virus hat er wohl schon...

Das hier zeigt mir Antivir immer an....Datei löschen hilft nix

Idioten diese Virus Programmierer

Sorry...also das hier ist die Zeile...denn Rest schick ich gleich mal



C:\WINDOWS\SYSTEM32\HWCLOCK.EXE

Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Small.EO

Sieht schlecht aus oder???? Hab das Wort infected irgendwie zu oft auf meinem PC gesehen:-(:-(

Hier mal das Ergebnis:




Tue Mar 29 18:34:17 2005 => File C:\WINDOWS\system32\Winregs326a.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:34:18 2005 => File C:\WINDOWS\system32\IExplore327.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:34:19 2005 => File C:\WINDOWS\system32\MSSCKD32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:34:41 2005 => File C:\WINDOWS\system32\Winregs326a.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:34:42 2005 => File C:\WINDOWS\system32\IExplore327.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:34:42 2005 => File C:\WINDOWS\system32\MSSCKD32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

29 18:35:01 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.

Tue Mar 29 18:35:01 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:35:01 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Tue Mar 29 18:35:01 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:35:51 2005 => File C:\WINDOWS\system32\g3bd.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Tue Mar 29 18:37:59 2005 => Total Virus(es) Found: 9
Tue Mar 29 18:37:59 2005 => Total Disinfected Files: 0

Hallo Kampfgurke,

chaosman hat Dir bereits empfohlen Dein System neu zu installieren.
In deinem System sind min. 3 Trojaner mit Backdoorfunktionalität aktiv.
http://de.wikipedia.org/wiki/Backdoor

Zu Deiner eigenen Sicherheit, um dies zu vermeiden:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Hab ich gemacht....Windows neu installiert...das hat in der Inst.Routine die Partition C: gelöscht. alles upgedatet von CD. SP2 drauf...Zone alarm. Ewido und Antivir.

System läuft stabil...erster Scan...keine Viren.

Kurz im Inet um hier zu schauen.....dann nochmal mit Ewido gescannt....6x Spyware auf dem Compi.....in den Cookies:-( alles gelöscht...hoffe ich zumindest.

Dann schlug Zone alarm an...Eindringling abgewehrt....

irgendwann haben mich die Meldungen so genervt das ich sie ausgestellt habe.....hab dann nach einer Stunde draufgeschaut auf Zone Alarm....mittlerweile 241 mal Eindringen abgewehrt.

Highjackthis Auswertung brachte nichts verdächtiges.....

Was kann ich noch alles tun? Ich war nur kurz auf der Seite hier. Muss dazu sagen, dass ich eine E: Partition habe die ich nicht gelöscht habe da da meine Priv. Schreiben, Fotos etc. drauf sind und die zu groß zum Runterbrennen sind.

Alles in allem 3h Arbeit..............für die Katz????

Zumal mir irgendwie die integrierte WLankarte abhanden gekommen ist...ist ein Centrino Notebook mit 1,3 Ghz.

Hat einer vielleicht eine Lösung für beide oder eines der Probleme. Danke für die Hilfe.

PS: Die Anleitungen und Erklärungen sind super. Hab alles so gemacht wie es da stand. Wollte jetzt nur noch ein Konto einrichten das nicht Administratorrechte hat fürs Inet.

Ach Mensch..............kann nur sagen was alle sagen.............."Hilfe" und "Könnt ihr da mal drüberschauen"

Du hast -vorbehaltlich eines neuen HJT-Logs- mit ziemlicher Sicherheit gar keine Probleme. Was dir die Firewall als "Eindringen" anzeigt, kannst du ignorieren, das sind in der Regel ganz normale oder zumindest ungefährliche Vorgänge. Entscheidend ist, ob auf deinem Rechner etwas ist, was auf diese "Eindringlinge" antwortet und vor der Neuinstallation war das noch der Fall, wenn du die Neuinstallation nach der Anleitung gemacht hast, sollte es auch immer noch so sein, es sei denn, du hast dir selber schon wieder irgendwas installiert. Poste noch mal ein aktuelles Log.

Hi..also hier die neue HJT File. Hoffe es ist alles ok...ich mach auch mal ne onlineauswertung....

Danke im Voraus



Logfile of HijackThis v1.99.1
Scan saved at 21:02:13, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Dokumente und Einstellungen\Kampfgurke\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112131055554
O17 - HKLM\System\CCS\Services\Tcpip\..\{D64C9FB9-6623-42FA-A7DD-F7DF4370D133}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Der Onlinecheck meint hierzu:


C:\PROGRA~1\MOZILL~1\FIREFOX.EXE Gut
Gut Laufender Prozess. (FIREFOX.EXE)
Internet Browser
Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\mozilla firefox\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.



Ist das bedenklich?

Zitat:

Alles in allem 3h Arbeit..............für die Katz????

Nein, so wie ich es sehe, ist dein Log-File sauber folglich sollte es auch dein System sein.

Zitat:

Zumal mir irgendwie die integrierte WLankarte abhanden gekommen ist...ist ein Centrino Notebook mit 1,3 Ghz.

Was spricht der Geräte-Manager? Eventuell deaktiviert?

Zitat:

Die Anleitungen und Erklärungen sind super.

Danke.

Zitat:

Dann schlug Zone alarm an...Eindringling abgewehrt....
irgendwann haben mich die Meldungen so genervt das ich sie ausgestellt habe.....hab dann nach einer Stunde draufgeschaut auf Zone Alarm....mittlerweile 241 mal Eindringen abgewehrt.

Ein ganz normales Verhalten einer Desktop Firewall, denn irgendwie muss ja ihre Daseinsberechtigung rechtfertigen.
Meist sind es nur harmlose Portscans oder eine vererbte IP eines Filesharers.
Siehe auch http://www.iks-jena.de/mitarb/lutz/u...l.html#Angriff.

Zitat:

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE Gut
Gut Laufender Prozess. (FIREFOX.EXE)
Internet Browser
Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\mozilla firefox\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
Ist das bedenklich?

Vergiss die Online Auswertung! Der Pfad ist derselbe, aber aufgrund von DOS werden eben nur 8+3 Zeichen (8.3-Format), z.B. aus PROGRAMME wird PROGRA~1, also wird ab der 7.Stelle mit dem Tilde Zeichen abgekürzt, dargestellt.

Jepp...hab jetzt wirklich alles nochmal drüber laufen lassen...nichts....aber auch garnichts gefunden......danke für den Support. werde nur noch im anderen Tread posten, kann also geschlossen werden:-)

@kamfgurke ich habe das selbe problem wie du ich könnte kotzen ich hab schon einmal neu aufgelegt und trotzdem die selbe scheisse nochmal

hilft den garnix richtig?

ich lege jetz nochmal neu auf diesmal nach anleitung und ich hoffe es funkt dan wieder ohne alle 10 sec virenwarnung

@ Horst_II

Zitat:

ich hab schon einmal neu aufgelegt

Bist du DJ?
*SCNR*

Zitat:

wieder ohne alle 10 sec virenwarnung

Welche Malware wurde wo von welcher AV Anwendung gefunden?

Hallo, wollte keinen neuen Thread öffnen.

Ich habe bei einem Bekannten eben den Rechner gecheckt. Es gibt eigentlich nur ein Problem. Der Internet Explorer verliert nach einer Weile die Verbindung zum Internet. Er öffnet keien Seiten mehr, stattdessen kommt eine Fhelermeldung, daß eine Suchmaschine nicht gefunden werden kann. Der Fehler tritt immer nach ein paar Minuten auf.
Ich habe dann die Personal Version von AntiVir installiert und laufen lassen, dabei wurde BDS/small.EO gefunden.
Ist eine Neuinstallation des OS die einzige Möglichkeit den Wurm loszuwerden?