Hallo Freaks,

das ist die log meines Bruders und der hat zwei Viren. Könnt Ihr mir sagen welche und wie die zu vernichten sind?
Er bekommt sie mit Antivir, Stinger und Bitdefender free nicht weg!
Der eine ist rootkitL und der andere ist ein windowsinstaler!
Hir die Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:15:33, on 09.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\svchost.exe
D:\Programme\ZoneAlarm\zlclient.exe
D:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Phone\Skype.exe
D:\Programme\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\DRIVERS\WINZIP\winzip32.exe
E:\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\programme\ftp\wsbho2k0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/030d4ece...dxIE601_de.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095878534936
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.160.163.29/activex/AxisCamControl.cab
O16 - DPF: {C20EB175-0DD0-4979-A994-1F0DBA69F627} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1032_EN_XP.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f008.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Insta...sAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{81121C63-9350-416B-8DA6-542BD0012A8C}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AOL Instant Messenger (AOL Instant Messenger) - Unknown owner - C:\WINDOWS\rofl.exe (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Configuration Loader - Unknown owner - C:\WINDOWS\svchost.exe

Danke fur eure hilfe.

Hallo Virus78,

bei einem Rootkit , darauf weist zumindest ein Registry-Eintag hin, gibt es IMHO nur eine Alternative --> Neuinstallation:

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

hi

aber interessant wäre es schon, ob F-Secure Blacklight das ding findet

kannst du das mal testen ?

Hallo,

http://www.trojaner-board.de/showthr...ight=rdriv.sys

dartus

Hi, also ist mein comp der so verseucht ist:/ erstmal danke für eure posts. die sache sieht so aus, dass blacklight den rootkit nicht erkennt. ich weiß allerdings nicht, ob ich ihn andersweitig losgeworden bin, weil ich ne ganze palette an programmen runtergeladen und durchlaufen hab lassen, um ihn los zu werden. der rootkit hat dazu geführt dass ich sobald ich meine firewall ( zonealarm) geschlossen hab, die internetverbindung nicht mehr trennen konnte. das problem besteht aber nun nicht mehr. problematischer siehts mit dem installer aus ( HEURISTIC/win32 ), der sich bei jedem ordner auf dem videos vorhanden sind selbst installieren will es aber nie schafft. schließen kann ich den prozess nur über den taskmanager. löschen kann ich das verzeichnis nicht, und ich dazu schon eine ganze reihe von erase und löschprogrammen ausprobiert. werd nun noch mal was ausprobieren, die nacht ist ja noch jung falls sich was ergibt meld ich mich. danke nochmal für eure hilfe.

f- secure antivirus hat zeigt folgendes an:
1. Exploit.HTML.CodeBaseExec
2. not-viru:BadJoke.Win32.Badgame
3. Rootkit.Win32.Agent.p
4.Trojan-Downloader.JS.Small.bm
5. Trojan-Downloader.Win32.VB.ka ,

wobei nur der erste desinfiziert werden konne:/

meiner meinung nach erkennt auch kein antivirenprogramm viren, wenn es schon auf ein verseuchtes system installiert wird, oder?