Hallo,
ich habe ein Riesenproblem. Ich habe das Problem, das vermutlich im internet explorer liegt. Obwohl ich die Festplatte fragmentiert habe ist das Problem noch da

Beim aktuellen Antivirendurchlauf (update von heute) kam folgendes raus:
TR/LonZon.D
TR/LonesD.36
TR/Dldr.S5IstB.05
HTML.ScriptvirusHTML/IstBar.A.1
TR/Dldr.Agent.Ex

Dauergast ist ein
LowZones.bh.14

Hat hier jemand eine Idee oder Erfahrungen, wie ich den kram wieder los werde???

Erstmal Danke
Leathergirl

Hallo,
erstelle mal bitte ein HijackThis Logfile und poste es hier her. Dann kannst auch schon mal Escan (Anleitung genau befolgen!) drüberlaufen lassen und danach den Inhalt der eScan_neu.txt posten.


Grüße Wildone

Hallo,
erstmal vielen Dank für die schnelle Hilfe, ich werde hier wahhhhhhnsinnig



hier schon einmal den Bericht von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:12:16, on 30.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msnsmgs.exe
C:\WINDOWS\System32\socks32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hallo\LOKALE~1\Temp\Rar$EX00.033\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows Messenger] msnsmgs.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] socks32.exe
O4 - HKLM\..\RunServices: [Windows Messenger] msnsmgs.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] socks32.exe
O4 - HKCU\..\Run: [Windows Messenger] msnsmgs.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] socks32.exe
O4 - HKCU\..\RunServices: [Windows Messenger] msnsmgs.exe
O4 - HKCU\..\RunServices: [MicroSofot Update] nomlic.exe
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall 1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
O16 - DPF: v3cab - http://searchmiracle.com/cab/1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DA450BB-65C7-4145-8B02-28D8060E91A0}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Leider habe ich im finden des "Bases_X" vom eScan ein Problem (wahrscheinlich zu blond :-( )
reiche ich aber nach, sowie ichs geschafft habe.

Schon mal vieleeeeeeeeeeeen Dank!!!

Hallo,
sieht nicht gut aus, beende mal bitte folgende Prozesse im Taskmanager:
C:\WINDOWS\System32\msnsmgs.exe
C:\WINDOWS\System32\socks32.exe
und überprüfe die zugehörigen Dateien hier
Falls du sie nicht findest das hier abarbeiten.


Grüße Wildone

Hallo,

im moment scheint "eScan" zu laufen, mache ich aber direkt im Anschluß!

Zitat:

Zitat von Leathergirl

Hallo,

im moment scheint "eScan" zu laufen, mache ich aber direkt im Anschluß!

Es scheint, oder es ist so?
Wenn du mit dem gleichen PC online bist, hast du schon etwas falsch gemacht und kannst den Scan sowieso gleich abbrechen.

Also, der bei der einen Datei kamen folgende Ergebnisse raus:
trojan.Sdbot.Gen66321.MX
win32.HLLW.MyBot
Backdoor.Win32SdBot.gen
Win32/Rbot.DVM
Win32.HLLW.Mybot

Die andere Datei( socks32.exe) habe ich jetzt kopiert:
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH.MORPHINE, MORPHINE, UPX

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Backdoor.RBot.2D305337 gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Win32.HLLW.MyBot.based gefunden
F-Prot Antivirus
unknown virus gefunden (mögliche Variante)
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.gen gefunden
NOD32
a variant of Win32/Rbot gefunden
Norman Virus Control
Sandbox: W32/Backdoor; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 88576 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\socks32.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "NTSF MICROSOFT SYSTEM"="socks32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "NTSF MICROSOFT SYSTEM"="socks32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "NTSF MICROSOFT SYSTEM"="socks32.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Sets value "restrictanonymous"="
" in key "HKLM\System\CurrentControlSet\Control\Lsa".

[ Network services ]
* Looks for an Internet connection.
* Connects to "bigxen.bigporcasg.net" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname [Sh0x]-90548065.
* IRC: Uses username krkwairo.

[ Security issues ]
* Possible backdoor functionality [Authenticate] port 113.

[ Process/window information ]
* Creates a mutex r00t.
* Will automatically restart after boot (I'll be back...). gefunden
UNA
Keine Viren gefunden
VBA32
Backdoor.Win32.Rbot.gen gefunden

Befolge die Hinweise zum Neuausetzen in meiner Signatur! Befolge sie genauestens!

Ursache der Infektion ist dein mangelhaft gewartetes Betriebssystem:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

ist nicht nur veraltet, sondern auch unsicher.

Gruß
Yopie

Ich weiß, es kommt spät aber ich habe es viorher irgendwie nie geschafft.

DDDAAANNNKKKEEE

:aplaus: