hier ist mein Log, ich weiß zwar nicht wozu HijackThis ist, aber schaden kann es wohl nicht


Logfile of HijackThis v1.99.1
Scan saved at 01:36:38, on 10.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\xchat\xchat.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Ares\Desktop\WindowsXP-KB835935-SP2-DEU.exe
d:\00a233e0dbda1b0710\i386\update\update.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Dokumente und Einstellungen\Ares\Desktop\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113084524921
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hallo nine-11,

lass bitte folgende Datei:

C:\WINDOWS\System32\MSAOL32.exe

hier online scannen:

http://virusscan.jotti.org/de

teile bitte das Ergebnis mit.

dartus

also ich wollte die datei hochladen und überprüfen lassen, aber die war nicht mehr auffindbar, hab verzweifelt versucht sie zu finden!
antivir gab mir diese meldung!!


10.04.2005,01:52:09 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.89248!
C:\WINDOWS\SYSTEM32\MSAOL32.EXE


dann musste ich kurz neu starten und haben dann hier im forum vorbei gesehen, als ich das machen wollte was du gesagt hast, ging es nicht mehr, weil die Datei nicht auffindbar ist. was soll ich jetzt machen?
kann man irgendwo infos zu dem WURM finden, also infos zu dem was er macht!weil ich will herausfinden, ob er Grund dafür ist, das mein System so abspackt!

danke dir!


//Edit auch in einem erneuten HijackThis scan, ist die datei nicht mehr mit drin, wenn du möchtest kann ich dir den log auch noch posten!

Das Problem bei bei den Schädlingen der Rbot Familie ist die Backdoorfunktion, also die Möglichkeit dritter Dinge mit deinem PC anzustellen, von denen du u.U. sogar gar nichts mitbekommst.
Hier mal ein Link zum Thema was man mit solchen Dingern anstellen kann:

http://www.dradio.de/dlf/sendungen/wib/253543/

IMHO ist dir nur zu einem Neuaufsetzen zu Raten.Gehe nach folgender Anleitung vor:

http://www.trojaner-board.de/showthread.php?t=12154

Edit:

Warum eine Bereinigung nicht zum Erfolg führen kann:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Hallo nine-11,

leider kann ich da nur cronos' Ansicht unterstützen. U.a. deswegen:

http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet

dartus

weiss denn jemand was dieser wurm genau macht? würde micht nämlich brennend interessieren.

moin moin,
genau das gleiche scheiss Ding habe ich mir heute auch eingefangen, musste den Rechner runterfahren und im abgesicherten Modus konnte ich das Ding mit Regedit aus der Registrierung entfernen und die Datei : MSAOL32.EXE aus dem " C:\WINDOWS\System32\ " - löschen.

Da die Datei ja auch alle Attribute gestzt hatte sowie Schreibschutz , System und Versteckt, war sie nicht leicht zu finden nur mit dem Total Commander gelang es mir die zu sehen und zu vernichten...

Wenn ich den Arsch erwische der sowas programmiert oder überhaupt Viren programmiert, dem hacke ich beide Hände ab....

Also ihr scheiss Viren Programmierer nehmt euch in Acht, denn NIGHTMAN hat die Axt mitgebracht...

CIAO

moin moin,
genau das gleiche scheiss Ding habe ich mir heute auch eingefangen, musste den Rechner runterfahren und im abgesicherten Modus konnte ich das Ding mit Regedit aus der Registrierung entfernen und die Datei : MSAOL32.EXE aus dem " C:\WINDOWS\System32\ " - löschen.

Da die Datei ja auch alle Attribute gestzt hatte sowie Schreibschutz , System und Versteckt, war sie nicht leicht zu finden nur mit dem Total Commander gelang es mir die zu sehen und zu vernichten...

Wenn ich den Arsch erwische der sowas programmiert oder überhaupt Viren programmiert, dem hacke ich beide Hände ab....

Also ihr scheiss Viren Programmierer nehmt euch in Acht, denn NIGHTMAN hat die Axt mitgebracht...

CIAO

@ nightman

Warum eine Bereinigung hier nicht hilft, sondern nur ein Neuaufsetzen zum Erfolg führen kann, ist ausführlich in den von mir und dartus´gegebenen Links durchaus nachvollziehbar beschrieben.