Nachdem ich nu einiges erfolglos versucht habe, wende ich mich an die Profis hier um den Viren den Gar auszumachen. Ichhoffe ich bin noch nicht ganz verloren und komm um ein Neuaufsetzen des Systems herum

Ich weiß das einiges aktiv ist, das nicht sein sollte, aber da ich es nicht selbst in den Griff bekomme brauch ich eure Hilfe und bedanke mich dafür schonmal sehr im Vorraus .

Gruß Wasp

Logfile of HijackThis v1.99.1
Scan saved at 10:43:11, on 02.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\Grxp4exe.exe
C:\Program Files\Preview AdService\PrevAdServ.exe
C:\WINDOWS\System32\neta.exe
C:\Program Files\Preview AdService\PrevAdKeep.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msdos.pif
C:\Downloads\HijackThis.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\msdos.pif

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [Microsoft Update 32] neta.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [Microsoft Update 32] neta.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120762017750
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\sysdat.exe (file missing)

Hallo Wasp!

Kurz und Bündig!
Allein dieser Eintrag

Zitat:

C:\WINDOWS\System32\msdos.pif

stammt von einem Backdoortrojaner
http://www.sophos.de/virusinfo/analyses/w32rbotaiy.html
Damit kann Dir nur noch ein neu Aufsetzen nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
empfohlen werden. Alles andere macht keinen Sinn
bis denn, stupormundi

Du solltest auch Dein Sicherheitsverhalten überprüfen, das System ist veraltet und ungepatcht.
Weiterhin war das aktiv:
C:\WINDOWS\sysdat.exe
Das ist der hier:
http://www.sophos.de/virusinfo/analyses/w32rbotgh.html

Du kommst um eine Neuinstallation nicht herum. Nehme den PC schnellstmöglich vom Netz.

@Wasp

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dein System ist nicht uptodate. Davon kommt's:

Zitat:

C:\WINDOWS\System32\neta.exe
C:\WINDOWS\System32\msdos.pif

und ein Häufchen Kramm, wie IstBar & Co.
Also full ack @felix1. Link zur Anleitung in meiner Signatur.

Zitat:

Zitat von Rene-gad

@felix1. Link zur Anleitung in meiner Signatur.

Warum soll ich die Anleitung lesen. Ich kenne sie doch.

@felix1
Frage:

Zitat:

Warum soll ich die Anleitung lesen. Ich kenne sie doch.

Antwort:

Zitat:

Zitat von Cidre

Doppelt gemoppelt hält besser

So hab jetzt mein System neuaufgesetzt nachdem ich ja wohl keine andere Möglichkeit hatte Danke nochmal für die Hinweise !

Hier jetzt ein Log nachdem ich die Sachen drauf habe dir mir wichtig sind.

Logfile of HijackThis v1.99.1
Scan saved at 12:06:06, on 04.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\Grxp4exe.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Downloads Apps\HijackThis.exe

F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125700442953
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C00FAF1-5807-4BCC-BFAB-EAE0C241E766}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



Ich hoffe es hat sich noch nichts eingeschlichen

Das Log sieht sauber aus. Firefox installiert, SP2 drauf - System in Ordnung!
der einzige eintrag der verdächtig aussieht ist:
F3 - REG:win.ini: run=
fixe den mal. ich denke dass da aber nichts schlimmes dahinter steckt..

Der Eintrag ist gefixed , war mir auch sofort verdächtig

Ich denke ein Backup wäre jetzt ganz sinnvoll, kann mir jemand einen Link nennen womit dies am sinnvollsten wäre ?

Gruß Wasp

@Wasp

Zitat:

So hab jetzt mein System neuaufgesetzt

Könntest du freundlicherweise uns sagen, wieviel Zeit hast du fürs Neuaufsetzen inkl. Datensicherung und -wiederherstellung gebraucht, auch die Angaben zu deinem PC: Prozessor, FP-Größe usw? Das würde ich gerne für statistische Zwecken verwenden. Wenn du meinst, diese Daten seien sensibel, bitte um eine PM .

Hmm also erstmal mein System :

Intel(R) Pentium(R) 4 CPU 2.80GHz Northwood (0.13 µm)
RADEON 9800 XT
512 MB RAM
Windows XP Professional
Maxtor 120 GB 2Gb Cache

Das ganze in ein Zeitfenster einzugrenzen ist schwierig, aber ich würde sagen 4 Stunden inklusive installieren aller Programme die ich selbst noch benötige, reines Neuaufsetzen nach dem Plan ca. 2 1/2 Stunden. Datensicherung selbst folgt noch da ich meinen Brenner ersetzen muss der den Geist aufgegeben hat und ich keine Backup cd momentan erstellen kann

@Wasp
TNX. Schönes WE noch.

So tut mir ja leid das ich schon wieder da bin aber ich weiß keinen anderen Weg Nach dem Neuaufsetzen , SP2, Avast Antivirus und der Win XP Firewall
ist es dann doch wieder passiert, alerdings hab ich es noch nie so erlebt. Nach einem Neustart, ich hatte Partition Magic installiert, ist der Bildschirm hängengeblieben für ca. 2 Minuten beim Bild "Windows wird gestartet" Ich habe MsBlaster vermutet da nachdem ich mich irgendwann einloggen konnte der Remoteprozeduraufruf kam und das System nach 1 Minute neugestartet wurde. Ohne groß zu überlegen hab ich mich entschlossen eine erneute Installation durchzuführen mit dem selben Ergebniss, allerdings ohne eine Installation von Part. Magic da ich in der Exe einen Virus vermutete, dann kam das Problem mit dem Hängenbleiben als ich den Tip von der Windows Secure Seite ausführen wollte ( Datei und Druckerfreigabe unter WIndows ), plötzlich hing das System erneut nach dem Reboot bei "Windows wird gestartet".. Ich hoffe ich habe mein Problem gut genug beschrieben sodaß Ihr mir helfen könnt, Das nervt nämlich tierisch da ich nicht weiß wovon das kommt. ALso ganz schnell Hilfe, dies ist meine zweite Neuinstallation heute Nacht

Gruß Wasp

alles muss vor der ersten internetverbindung gemacht werden. danach ist es schon zu spät.
deswegen hab ich auf meiner seite bewusst auf regedit-anleitungen verzichtet und gleich n paar files gebaut die das bereits erledigen.

Das Problem ist ich kann es nicht vor der ersten Internetverbindung machen da ich mir die Files nicht brennen kann die ich brauche. (Brenner futsch)

Aber es kann doch nicht sein das niemand diesen Virus kennt der ein System runterfährt ? Und bei dem Bildschirm "Windows wird gestartet" ca. 2 MIn. hängen bleibt, zudem hab ich vergessen das sämtliche Netzwerkverbindungen danach entfernt sind und ich eigentlich nichts mehr machen kann außer von CD zu booten und neuinstallieren ?