hallo alle
Ich hab ziemlich sicher drei dateien entdeckt bin mir aber nicht sicher ob ich noch paar drauf hab. Mein Problem ist, dass ich das Windows von meinem Laptop nicht updaten kann weil mein DSL anschluss im moment nicht funktioniert wegen des schweren Unwetters von vor 2 Wochen. Ich brauche meinen Laptop nun aber für die Zeit bis mein DSL anschluss für den PC wieder funktioniert um meine E-Mail zu checken, dinge für den Verein zu erledigen. Auf einigen Seiten die Foren zu lesen etc. Es geht mir also primär um Schadensbegrenzung bis ich wieder DSL hab. Danach werd ich wohl eh das System neu aufsetzen.

Antivir -> neustes Update
Outpost -> neustes Update
CWShredder -> neuste Version
Stinger -> neuste Version
Benutze Firefox

Logfile of HijackThis v1.99.1
Scan saved at 22:27:43, on 05.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\spdcheck.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\bldc32a.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Dokumente und Einstellungen\Daniel Halter\Desktop\HijackThis.exe
C:\WINDOWS\System32\ms-dos.pif
C:\WINDOWS\System32\ms-dos.pif

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.ch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [RBc Test] bldc32a.exe
O4 - HKLM\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKLM\..\RunServices: [RBc Test] bldc32a.exe
O4 - HKLM\..\RunServices: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [RBc Test] bldc32a.exe
O4 - HKCU\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\RunServices: [MS-DOS Security Service] ms-dos.pif
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.ch
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\AGNITUM\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
O23 - Service: wincheck (spdcheck) - Unknown owner - C:\WINDOWS\spdcheck.exe

----------------------------------

spdcheck.exe, bldc32a.exe und ms-dos.pif sind meine favoriten. Hab auch schon alle drei von Outpost blockieren lassen. Findet ihr vielleicht noch etwas? Für Tips wie ich diese am besten beseitige bin ich natürlich auch sehr dankbar.

Danke und Gruss Truman

wie hast du dir die sammlung bitte wieder zugelegt?
das sind fast alles backdoor!
hier ist eine Neuinstallation unvermeidbar.
Neuaufsetzung & Absicherung des Systems
Grund: Dein System ist kompromittiert und daher nicht mehr vertrauenswürdig.

Wenn ich das nur wüsste.
Ich habe diesen Laptop seit ich ihn hab (2003) erst zwei mal benutzt um online zu arbeiten. Das erste mal kurz nachdem ich in gekauft hab und nun wieder seit 2 Wochen wegen des DSL Ausfalls.
Spdcheck und bldc32a konnte ich löschen (abgesicherter Modus, Antivir und Stinger laufen lassen). MS-DOS.pif wurde von keinem der beiden als gefährlich erkannt. War damit immer nur auf Seiten die ich kenne und auf denen ich sonst auch immer bin. Die Registry einträge von bldc32a sind auch alle weg bei spdcheck hab ich noch bischen probleme.

Hallo, truman!

Tja,

Zitat:

C:\WINDOWS\System32\ms-dos.pif
C:\WINDOWS\System32\ms-dos.pif
...
O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [RBc Test] bldc32a.exe
O4 - HKLM\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKLM\..\RunServices: [RBc Test] bldc32a.exe
O4 - HKLM\..\RunServices: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [RBc Test] bldc32a.exe
O4 - HKCU\..\Run: [MS-DOS Security Service] ms-dos.pif
O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\RunServices: [MS-DOS Security Service] ms-dos.pif

sind unter anderen die hier
http://www.sophos.de/virusinfo/analyses/w32rbotajs.html
http://www.sophos.com/virusinfo/anal...32rbotama.html
http://www.sophos.com/virusinfo/anal...32rbotakf.html
Damit, wie Dir schon von chris14 gesagt, ist Dein System hochgradig verseucht und Du hast höchstwahrscheinlich nicht mehr die Kontrolle darüber.
Also folge der Empfehlung und nimm Dein System sofort vom Netz und setze es neu auf nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
Und von wegen aktuelles System: Auch wenn Du nur einmal im Jahr im Internet unterwegs bist, solltest Du darauf achten, dass auch Dein Betriebssystem und alles andere, nicht nur die Virensignaturen auf dem letzten Stand sind
Bis denn, stupormundi

ok das ist mein neustes Log.

Logfile of HijackThis v1.99.1
Scan saved at 13:06:17, on 06.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Dokumente und Einstellungen\Daniel Halter\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.ch
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.ch
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\AGNITUM\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe


Antivir, Stinger, Outpost melden nichts mehr.
Ich werd heut mal beim Händler, von dem ich den laptop hab, nach ner CD mit dem kompletten SP2 etc fragen. Weiss aber ned ob der sowas hat, da er auch vom Hochwasser betroffen war.
Ich weiss, dass neu aufsetzen das beste ist. Ist es aber möglich so wie es jetzt ist dem umständen entspechend sicher ins i-net zu gehen, bis ich wieder DSL hab (könnte 1 bis 2 Wochen dauern).

Gruss Truman
PS: Wo genau auf der Microsoft seite kann ich die sp2 cd bestellen? Ich find das einfach nicht. Alle links die ich versucht hab, führen auf die selbe englisch sprachige Seite und von der aus kann ich es nur runterladen.

Hallo, truman

Also mal ganz allgemein - wenn Dir hier von gut meinenden anderen Usern (Regulars) der Tipp gegeben wird, etwas nachzulesen, dann wäre es sehr schön wenn Du das auch tun würdest. Sowohl Chris14 als auch ich haben Dir wegen der Verseuchung durch die Backdoor-Trojaner einen einzigen klaren Tipp zur Behebung Deines Problems gegeben, zusätzlich, falls Du uns nicht glaubst, hattest Du die Möglichkeit über die links nachzulesen, was es mit diesen Backdoors auf sich hat und warum kein Entfernen der Dateien msdos.pif etc genügt!

Also bitte noch einmal - nimm Dein Sys vom Netz und setze neu auf!
Im link von Cidre ist auch der Hinweis über den Bezug von SP 2 deutlich zu lesen

Zitat:

[1] Bezugsmöglichkeiten von Service Pack 2 -> Download oder CD-Bestellung

stupormundi