ich sitze hier an einem fremden rechner schon bestimmt 2stunden!
er ist mit psguard infiziert und ich bekomms nicht weg!

habe 3 mal panda benutzt!
scan 1:
Adware:Adware/PurityScan No disinfected C:\WINDOWS\System32\vbsys2.dll
Adware:adware/popuper No disinfected C:\WINDOWS\SYSTEM32\hhk.dll
Adware:adware/psguard No disinfected C:\WINDOWS\SYSTEM32\intell32.exe
Adware:adware/virmaid No disinfected C:\WINDOWS\SYSTEM32\ole32vbs.exe
Adware:adware/searchaid No disinfected C:\WINDOWS\SYSTEM32\vbsys2.dll
Adware:adware/cws No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\FAVORITEN\ONLINE GAMBLING\Online Gambling.url
Adware:adware/purityscan No disinfected HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44A1-9F4543D34545}
Adware:adware/mediatickets No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{43331111-1111-1111-1111-611111195622}
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\Downloaded Program Files\eied.inf
Adware:Adware/Mirar No disinfected C:\WINDOWS\Downloaded Program Files\MirarSetup.exe
Adware:Adware/PurityScan No disinfected C:\WINDOWS\Downloaded Program Files\start.INF
Virus:W32/Sasser.ftp Disinfected C:\WINDOWS\system32\cmd.ftp
Virus:W32/Gaobot.AZP.worm Disinfected C:\WINDOWS\system32\crsss.exe
Virus:W32/Sdbot.BWA.worm Disinfected C:\WINDOWS\system32\MSRSS.exe
Virus:W32/Sdbot.BSW.worm Disinfected C:\WINDOWS\system32\rpcxsocsa.exe
Virus:W32/Sdbot.CEP.worm Disinfected C:\WINDOWS\system32\snapple.exe
Virus:W32/Codbot.A.worm Disinfected C:\WINDOWS\system32\upnp.exe
Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\vbsys2.dll
Adware:Adware/WUpd No disinfected C:\WINDOWS\Temp\lbia.htm


scan 2:

Virus:W32/Gaobot.AZP.worm Disinfected C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\31E.tmp
Virus:W32/Sdbot.BWA.worm Disinfected C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\3AB.tmp
Virus:W32/Sdbot.BSW.worm Disinfected C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\3FC.tmp
Virus:W32/Codbot.A.worm Disinfected C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\436.tmp
scan 3: alles sauber!
habe ein wenig mit killbox nachgeholfen!


und das ist der aktuelle hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:08:36, on 29.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msole32.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://unkmail2.unk.edu/iNotes6W.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8832340-6000-4DB5-9759-3F653C180F59}: NameServer = 62.104.191.241 62.104.196.134
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

BITTE HELFT MIR ICH WEISS NICHT WEITER !!! er kommt immerwieder

Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
Lade und update Ad-aware sowie Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html

Danach mache einen escan genau nach Anleitung: http://www.trojaner-board.de/showthread.php?t=17492

Update das System, weil:

Logfile of HijackThis v1.99.1
Scan saved at 21:08:36, on 29.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

lade mir grad die beiden programme!
100%ig das ich den damit kleinkriege?

updates mache ich wenn er runter ist!

@luckystrikerulz
Setz' das System nach dieser Anleitung neu auf, es ist in keinster Weise mehr vertrauenswürdig.
Und "Nein", es gibt keinen anderen Weg!

Hallo,

sorry aber bei derartigem Befall mit Backdoortrojanern,

Zitat:

Virus:W32/Gaobot.AZP.worm Disinfected C:\WINDOWS\system32\crsss.exe
Virus:W32/Sdbot.BWA.worm Disinfected C:\WINDOWS\system32\MSRSS.exe
Virus:W32/Sdbot.BSW.worm Disinfected C:\WINDOWS\system32\rpcxsocsa.exe
Virus:W32/Sdbot.CEP.worm Disinfected C:\WINDOWS\system32\snapple.exe
Virus:W32/Codbot.A.worm Disinfected C:\WINDOWS\system32\upnp.exe

ist von einer sauberen Bereinigung IMHO kaum möglich und auch nicht anzuraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Daher mein dringender Rat, Neuinstallation
Anleitung:
http://www.trojaner-board.de/showthread.php?t=12154

dartus

EDIT: Hallo Haui

wirklich 0 chance?

wie gesagt es ist nicht meine rechner und ich müsste dann morgen nochmal kommen neu aufsetzen!
und panda findet nichts mehr!!!

es sit nur dieser werbe müll der nicht weg geht!

edit: einzies was noch gefunden wird sind 7 einträge zu smitfraud-c die nicht behoben werden können, sagt der spybot!

Hallo luckystrikerulz,

Zitat:

wirklich 0 chance?

JA! Lies Dir meine Links durch und Du weisst warum!

dartus

Zitat:

Zitat von luckystrikerulz

wirklich 0 chance?

Nein, wir wollten dich nur ein bisschen ärgern

Warum lesen die Leute die Anleitungen nicht? Dort ist alles bis ins kleinste Detail beantwortet...

Zitat:

Zitat von dartus

Hallo luckystrikerulz,


JA! Lies Dir meine Links durch und Du weisst warum!

dartus

hmm habe leider keine zeit um mir 100seiten durchzulesen!
wiso sagt denn der panda nix mehr?

system hab ich erst neu gemacht! die trojaner kamen beim updaten der firewall (wo ich dummerweise die verbindung nicht getrennt habe) in 2sekunden rein!

Zitat:

Zitat von luckystrikerulz

hmm habe leider keine zeit um mir 100seiten durchzulesen!
wiso sagt denn der panda nix mehr?

system hab ich erst neu gemacht! die trojaner kamen beim updaten der firewall (wo ich dummerweise die verbindung nicht getrennt habe) in 2sekunden rein!

Irgendwie beschleicht mich das Gefühl, dass ich hier meine Zeit vergeude...

Zitat:

Zitat von Haui45

Irgendwie beschleicht mich das Gefühl, dass ich hier meine Zeit vergeude...

und wiso schreibst du stattdesen nicht was sinnvolles?
ich mein die 2 zeilen hättes du dir sparen können! ich habe leider nicht die zeit und brauche schnellen rat! seiten über allgemeine Trojaner-Sachen habe ich genug gelesen!
ICH BRAUCHE HILFE

Zitat:

Zitat von luckystrikerulz

und wiso schreibst du stattdesen nicht was sinnvolles?

Ich hab' bis jetzt ausnahmslos sinnvolle Postings in diesem Thread erstellt. Damit stehe ich aber mit "dartus" alleine da.

Zitat:

ich mein die 2 zeilen hättes du dir sparen können!

Hätte ich machen können.

Zitat:

ich habe leider nicht die zeit und brauche schnellen rat! seiten über allgemeine Trojaner-Sachen habe ich genug gelesen!

Entschuldige bitte, dass du etwas Zeit investieren musst um deine Fehler wieder auszubügeln...

Zitat:

ICH BRAUCHE HILFE

DANN LIES UNSERE POSTINGS.


BTW: Ignorier-Liste erweitert.

bin nich ganz so blöd wie du denkst (hab n EDV-Beruf, Abi,...), aber egal!
wollte nur eine kurze präzise antwort und keine verweise auf noob-faqs mit allgemeinem gesülze!


werde dann morgen trotzdem mal neu aufsetzen und danke für eure antworten.
schön abend noch!