Hallo!

frage könnt ihr mal das log von mir ansehen?da ist irgendwas von Pokapoka drin ich hab mal nachgelesen das ist anscheinend ein virus,aber vielleicht findet ihr ja nochwas!

thnx N!ce


Logfile of HijackThis v1.99.1
Scan saved at 14:57:16, on 14.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\etb\pokapoka63.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\icqpro2003b.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Manu\LOKALE~1\Temp\Rar$EX00.058\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics]
"C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\Run: [Windows Logon Service] winlogon.pif
O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Windows Logon Service] winlogon.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [Windows Logon Service] winlogon.pif
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [Windows Logon Service] winlogon.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 -
HKLM\System\CCS\Services\Tcpip\..\{4B8C0EDC-0B78-4F86-98E6-09116F218B8B}:
NameServer = 195.3.96.67 195.3.96.68
O17 -
HKLM\System\CS1\Services\Tcpip\..\{4B8C0EDC-0B78-4F86-98E6-09116F218B8B}:
NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany
- C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp
Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hallo,
bei deinem System ist leider nichts mehr zu retten, Grund hierfür:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)

unzureichendes Patchverhalten, aktuell wäre SP2 +alle weiteren Updates die Microsoft jeden Monat zur Verfügung stellt.
Da hast/hattest den hier:
http://www.sophos.de/virusinfo/analyses/w32rbotafb.html
auf deinem System, somit ist es kompromittiert und muss neu aufgesetzt werden. Hier eine Anleitung zum Neuaufsetzen, wenn du dich daran hältst ist das die Basis für ein zukünftig sicheres System.


Grüße Jasager

Hallo Nice 4 You!

Zitat:

Zitat von Nice 4 You

O4 - HKLM\..\Run: [Windows Logon Service] winlogon.pif

O4 - HKLM\..\RunServices: [Windows Logon Service] winlogon.pif

O4 - HKCU\..\Run: [Windows Logon Service] winlogon.pif

http://www.f-secure.com/v-descs/sdbot_ada.shtml
ein Backdoor!
Einzig sinnvoll neu aufsetzen nach Cidres Anleitung!
http://www.trojaner-board.de/showthread.php?t=12154
Folge den Anweisungen genau und halte vor allem Dein System immer aktuell

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Nicht gerade der neueste Stand
viel Glück
stupormundi

@ wildone
ok, warst schneller!
bis denn
stupormundi

is der pc von ner freundin,und wo sie ihn bekommen hat waren ca 20 trojaner und etliche viren drauf!der vobesitzer war anscheinend auf viel pornoseiten

aber vielen dank für die hilfe!
ich werd ihn neu aufsetzen!

thnx

nice

Zitat:

Zitat von Nice 4 You

is der pc von ner freundin,und wo sie ihn bekommen hat waren ca 20 trojaner und etliche viren drauf!der vobesitzer war anscheinend auf viel pornoseiten

Der Vorbesitzer war anscheinend nicht oft genug auf.............der Windowsupdate-Seite.

--knoppix laden, c:\windoof\etb - ordner löschen, fertig...

..leute, stellt euch doch nicht so an!

Hallo,
@Brainhacks
Hast du dich überhaupt mal mit dem Thema Kompromittierung durch Backdoors näher beschäftigt? Links zum Thema:
http://oschad.de/wiki/index.php/Kompromittierung
http://www.microsoft.com/germany/tec...es/600574.mspx
http://www.mathematik.uni-marburg.de...c-removal.html


Grüße Wildone

ok,< ich habe diesen Trojaner offline, durch ein Patch bekommen... dieses System ist nicht am Internet angebunden. Ich dachte es ging nur darum den pokapoka zu entfernen.. der kann nämlich verdammt läßtig werden..

Trotzdem Danke für die Links, sehr interessant!