Hallo liebe Helfer,

bin leider ein unerfahrener PC-Nutzer, bitte bei Hilfe etwas Rücksicht nehmen.

Vorgestern war ich online und muß mir was eingefangen haben, mein Antivir hat angeschlagen und ne Menge Warnmeldungen angezeigt, Ich habe gedacht, kein Problem, lösche ich die Dateien einfach. Pustekuchen, sobald ich online bin, geht der Mist wieder von vorne los:

ein paar Beispiele der Viren:
HTML/Mediaticke.A.1
HTML/Istbar.A.1

Ich glaube, das Problem ist, daß bei jedem Auftreten der Viren auf meiner Festplatte unter C:/ eine Datei erzeugt wird, die ich zwar löschen kann, die aber immer wieder neu kommt. Mein Antivir erkennt diese Datei als infiziert an, kann aber dieses "Archiv" nicht heilen. Bin im Moment nicht zuhause, aber die Datei heißt c7fkgl45.exe (oder so ähnlich).

Wer kann mir helfen??
Hab schon einiges versucht, nichts hat geholfen

Hoffe, Hilfe kommt bald :-(

geschmi60

poste doch mal ein HijackThis logfile
www.trojaner-board.de/showthread.php?t=17493

Logfile of HijackThis v1.99.1
Scan saved at 22:28:20, on 09.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\vsmom.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-DSL Business\BOLog.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SinEspias\no-spy.exe
C:\WINNT\system32\internat.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\T-DSL Business\BODialer.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Schmid\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BOL Master] F:\Setup.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Update] dsn.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp07.photoprintit.de/microsi...eUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E16BC29-999F-4205-B787-2D8F75FBCC17}: NameServer = 192.168.0.227
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINNT\Edit.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINNT\vsmom.exe

Hallo,
beende mal den Prozess im Taskmanager:
C:\WINNT\vsmom.exe
und überprüfe die dazugehörige Datei+diese Datei(falls vorhanden):
C:\dsn.exe
hier
und poste die ergebnisse hier her.


Grüße Wildone

Jottis Malwarescan 2.99-TRANSITION_TO_3.00

Datei, die hochgeladen und gescannt werden soll:
Dienst
Auslastung: 0% 100%

Datei: vsmom.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, MEWBUNDLE, MEW

AntiVir Worm/SdBot.55345 gefunden
ArcaVir Trojan.Sdbot.Aad gefunden
Avast Win32:SdBot-2173 gefunden
AVG Antivirus IRC/BackDoor.SdBot.GHQ gefunden
BitDefender Backdoor.SDBot.624444F3 gefunden
ClamAV Worm.Mytob.GH gefunden
Dr.Web Win32.HLLW.MyBot gefunden
F-Prot Antivirus W32/Sdbot.LHR gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.SdBot.aad gefunden
NOD32 IRC/SdBot gefunden
Norman Virus Control W32/Suspicious_M.gen gefunden
UNA Keine Viren gefunden
VBA32 Backdoor.Win32.SdBot.aad gefunden

Hallo Wildone, sorry, dauert immer ein wenig, da ich immer rausfliege aus dem i-net...die zweite von Dir genannte Datei ist nicht vorhanden

Hallo,
schlechte Nachrichten für dich, dein System ist von einem Backdoorwurm verseucht worden und ist nicht mehr zu retten.
Hier mal der Link zur Beschreibung des Viruses(Wurms), man beachte besonders die "side effects".
Also, jetzt hilft kein heulen und kein zähneklappern, hier ist eine Anleitung wie du vorzugehen hast, lies sie dir sorgfältig durch, dann ist das die Basis für ein in Zukunft sicheres System.


Grüße Jasager

Du hast einen Backdoor und wirst daher formatieren und neu aufsetzen müssen. Und zwar asap!

Beachte die genauere Begründung und die Installationshinweise in meiner Signatur.

Grund für die Infektion ist übrigens vermutlich ein Betriebssystem, was lange nicht mehr mit Windows-Updates aktualisiert wurde.

Gruß
Yopie

Hallo liebe Helferlein,

danke für die schnelle Hilfe...wenn´s auch wehtut.

Man merkt immer erst, wenn es zu spät ist, daß ein Update dringend notwendig gewesen wäre

Noch ne kurze Frage an die Spezialisten:

Kann ich gefahrlos meine wichtigsten Dateien (Eigene Dateien, Bilder, Word und Excel-Dateien...) auf CD brennen und nachher wieder aufspielen ?

Danke

Hallo,
hier ist mal eine Liste mit Dateiendungen die du nicht sichern solltest. Da sind jetzt auch Officedokumente dabei, aber da bin ich mit meiner Meinung etwas flexibler, sichere sie auf CD, und lass dann von deinem neuen System diese CD mit Escan prüfen, wenn der nichts findet, siollte es in Ordnung sein. Dies gilt nicht für Anwendungen etc!!


Grüße Wildone

Solange es sich nicht um ausführbare Dateien (exe, com, bat, pif, scr, ...) handelt: Ja.

Zu den Word / Excel-Dateien: Beachte, dass diese Makros enthalten können, die schädlichen Code enthalten können. MS-Office muss also auch upgedatet sein, außerdem solltest du grundsätzlich das automatische Ausführen von Makros in MS-Office deaktivieren.

edit: Tja, Wildone ist immer etwas schneller.

Gruß
Yopie

Tja, liebe Helfer,

ich muß euch nochmal bemühen!

Das Thema mit der Datensicherung haben wir ja schon etwas erörtert..aber nun mein Hauptproblem......ich habe ein Vereinsverwaltungsprogramm auf meinem Rechner, "Winner5" heißt das Ding, mit wahnsinnig wichtigen Daten, wie kann ich das sauber sichern...denn da sind ja ganz sicher Systemdateien drin....wäre echt schlimm, wenn diese Daten verloren wären!!!

Hallo,
willst du das gesammte Programm sichern, oder nur die damit erstellten Dateien? Zweiteres sollte relativ bedenkenlos möglich sein, ersteres würde ich nur im Notfall machen, dann so wie ich es schon bei den Officedokumenten beschrieben hast.
Du solltest dir zukünftig mehr gedanken zu regelmäßiger Datensicherung machen, gerade wenn du solche wichtigen Daten auf deinem Computer hast.


Grüße Wildone

Hallo Wildone,

das Programm macht eine Datensicherung auf der Festplatte, und diese möchte ich übernehmen(muß ich zuerst mal finden.....)

Ich denke, das sind dann ja nur die von dem Programm erstellten Dateien(nehme ich wenigstens an). Das Programm selbst habe ich, das ist kein Problem

Einverstanden so?

Gruß
geschmi60