hiho erstmal, habe seit ein paar tagen den virus " HTML-Scriptvirus HTML/LowZones.AP " er soll sich da ---> " C:\WINDOWS\SYSTEM32\LOUD.HTM " befinden. da zu taucht bei Lokaler Datenträger (C immer ein anwendung namens " tcpdump " auf.

ich bekomme das teil einfach nicht runter vom rechner.
kurz nach dem ich ins netz gehe funzt noch alles ganz normal.
dann bekomme ich halt die meldung von dem virus und ab da an brauch mein rechner jahre bis er eine seite aufgerufen hat.

löschen hilft auch nicht wirklich, da es immer wieder auftaucht und das nicht erst bei einem neustart.

falls ihr noch was wissen wollt oder noch was braucht einfach sagen. :-)

und hier mein logfile.

Logfile of HijackThis v1.99.1
Scan saved at 10:19:14, on 08.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\winsystem.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\MSMSN7.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\tcpdump.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Monika Wilhelm\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Gta San Andreas] gta.exe
O4 - HKLM\..\Run: [startwinsystem] winsystem.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [Gta San Andreas] gta.exe
O4 - HKLM\..\RunServices: [startwinsystem] winsystem.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [startwinsystem] winsystem.exe
O4 - HKCU\..\Run: [Gta San Andreas] gta.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{E680E9F6-5D84-4F29-AF8A-989F2CEC0A90}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

@Cyric
Dein Log sieht nicht gut aus.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\WINDOWS\System32\winsystem.exe

Bitte bei http://virusscan.jotti.org/ online checken, Ergebnis hier posten

Zitat:

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

Den Eintrag wird von W32.Hwbot-A Trojan erstellt.
Ich bin zu 99,99% sicher, dass wir hier nicht ohne Neuinstallation auskommen. Anleitung s. Link in meiner Signatur.

hatte ja schon sp2 drauf leider konnte ich dann zwar ins netz aber es konnte keine internet seite aufgebaut werden. dann habe ich die internet software mit allem drum und drann gelöscht und wollte sie dann neu installieren, aber er findet dann den adsl/tdsl treiber nicht ob wohl er ja auf der cd ist. habe dann rausgefunden er findet den treiber nicht weil ich ein verändertes betriebssystem benutze und es dafür kein treiber vorliegt.
aber ohne sp2 geht es.

öhm was soll ich bei jotti uploden?? *dummfrag*

@Cyric

Zitat:

aber ohne sp2 geht es.

Siehst du doch , dass es nicht gut geht. Außerdem hast du die uralte TOSW: Bitte Version 5 downloaden oder bei T-Punkt holen/bestellen (AFAIK-kostenlos, bin selbst mit TOSW5.0 mit SP2 im Netz, keine Probleme festgestellt).

Zitat:

öhm was soll ich bei jotti uploden??

C:\WINDOWS\System32\winsystem.exe

File:

winsystem.exe Status: INFECTED/MALWARE
MD5 0bbc5f25fbc1d2118c066faa14f04e3c Packers detected: PE_PATCH.MORPHINE, MORPHINE, UPX
Scanner results
AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Backdoor.RBot.E14E4607
ClamAV Found nothing
Dr.Web Found Win32.HLLW.MyBot.based
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.gen
mks_vir Found Win32.4 (probable variant)
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found Sandbox: W32/Backdoor; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 99328 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\winsystem.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "startwinsystem"="winsystem.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "startwinsystem"="winsystem.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "startwinsystem"="winsystem.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "whiteflag.afraid.org" on port 6667 (TCP).
* Connects to IRC server.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex Drego_UP v1.1.
* Will automatically restart after boot (I'll be back...).
VBA32 Found nothing

das hat jotti ausgespuckt.

dann werde icke mir mal TOSW5.0 holen.
sage mal wo kann man die ganzen updates von windows sich holen (zwecks cd)

@Cyric

Zitat:

Kaspersky Anti-Virus Found Backdoor.Win32.Rbot.gen

Also bitte - das System genau nach Anleitung in meiner Signatur neu aufsetzen.

Zitat:

sage mal wo kann man die ganzen updates von windows sich holen (zwecks cd)

S. Link CD-ROM bestellen in meinem Posting #2.