Hi Leute,
so fangen wir mal an
Der Trojaner:
-es kommen unten rehcts immer kleine warndreiecke mit nem ausrufe zeichen
und wenn ich darauf klicke gelange ich immer auf die seiten w*w.razespyware.de usw
-dazu ist meine startseite w*w.updatecenter.de und dort steht immer sie werden von WIN32.Sinnaka.A@mm ausspioniert !
-es öffnen sich immer pop-ups von der seite w*w.search2k.com bzw. pornographische seiten wie seiten zum wetten
schonmal danke im vorraus für die müh

mfg.
Rene Mar

Hallo,

poste bitte zunächst ein HijackThis-Logfile damit wir einen ersten Überblick über den Zustand des Systems bekommen.

Logfile of HijackThis v1.99.1
Scan saved at 14:54:05, on 02.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\mssearchnet.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\programme\steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\22M WLAN\WLANMON.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h***://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F3 - REG:win.ini: load=C:\WINDOWS\System32\aqfnkuggdi\csrss.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\aqfnkuggdi\csrss.exe
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: HomepageBHO - {893fad3a-931e-4e53-b515-b1426d63799b} - C:\WINDOWS\System32\hpCB09.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {09C02180-3B46-4CD8-83FF-34DAF442BDEF} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: 22M WLAN Adapter Utility.lnk = C:\Programme\22M WLAN\WLANMON.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://h**p://dlmanager.akamaitools....ex-2.0.3.1.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - http://h**p://launch.gamespyarcade.c...ch/alaunch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48A1B550-C3E7-426A-9D63-DF6B07935813}: NameServer = 192.168.0.1
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0900WA~1\w0svc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

hey

Laß bitte diese Datei C:\Windows\system32\wininet.dll hier überprüfen:
http://virusscan.jotti.org/de
Das Ergebnis dann hier posten

Gruss
Expert

http://www.sophos.de/virusinfo/analyses/w32chodeg.html
Dieser Schädling befindet sich auf dem System, ersichtlich durch diesen Eintrag:

Zitat:

F3 - REG:win.ini: load=C:\WINDOWS\System32\aqfnkuggdi\csrss.exe

W32/Chode-G fügt außerdem den folgenden Eintrag im [Windows]-Bereich von <Windows>\win.ini ein:

load=<System>\<zufällige Zeichen>\csrss.exe

Sophos sagt zu Schadroutine u.a. folgendes:

• Schaltet Antiviren-Anwendungen aus
• Ermöglicht Dritten den Zugriff auf den Computer
• Verändert Daten auf dem Computer
• Lädt Code aus dem Internet herunter
• Installiert sich in der Registrierung
• Durchführen von DDoS-Flooder-Attacken
• Bereitstellen eines Proxyservers
• heimliches Herunterladen, Installieren und Starten neuer Software
• Verändern der HOSTS-Datei
• Deaktivieren anderer Software, darunter Antiviren-, Firewall- und Sicherheitsanwendungen

=> Das System ist als kompromittiert anzusehen und sollte neu aufgesetzt werden.

Heißt das jetzt ich soll die ganze festplatte löschen und alles neu installieren ???
_________________________________________________________________
Ich bring mich um :'-(

achja zum ergebnis das steht *Status OK* aber mein AntiVir zeigt immer an das des n virus ist aber er lässt sich läschen und taucht danach direkt wieder auf !

Zitat:

Zitat von DerZokker

Heißt das jetzt ich soll die ganze festplatte löschen und alles neu installieren ???

Wenn du dem System wieder vertrauen willst: ja!

Hallo,

und vergiß nicht bei Onkel Billy vorbeizuschauen, Dir SP2 zu holen und alle verfügbare Updates zu machen - sonst bist Du schneller wieder hier als Dir lieb ist!

karaya

Ok ich werde euren anforderungen folgen und das tun was ich tun muss naja mein wondows CD ist ja weg aber wofür habe ich brüder ^^ oder kumpels ^^ aber ich schör euch wenn der kack weg ist geh ich auf keine seite mehr ich saueg nichts mehr ! ich lass nur noch saugen ^^

Der Hauptgrund für den Zustand deines Systems dürfte wohl dein fehlendes Patchverhalten sein. Dein Windows hat jedenfalls noch nie ein Update gesehen.

doch ich upddate es fast jeden monat nur das letzte update ist schon etwas länger her
Frage zum Formatieren:
-ist dann wirklich alles weg ?
-muss ich den grfikkarten treibe und soundkarten treiber alles neu installieren
-lüft der dann wieder schneller
-und dazu noch wie gehts das überhaupt ?!

Zitat:

doch ich upddate es fast jeden monat nur das letzte update ist schon etwas länger her

Wo ist das Service Pack 2?

Zitat:

-ist dann wirklich alles weg ?
muss ich den grfikkarten treibe und soundkarten treiber alles neu installieren

Ja.

Zitat:

-lüft der dann wieder schneller

Wenn das System aufgrund der aktiven Malware langsamer wurde - ja.

Zitat:

-und dazu noch wie gehts das überhaupt ?!

Lies die oben verlinkte Anleitung.

@ derZokker

- ja, dann ist alles weg
- ja, Du musst aller Treiber neu installieren
- ja, dann läuft XY auch wieder (etwas) schneller
- kuckst Du hier

karaya

sorry, bin zu langsam!

Den graka treiber hab ich noch und windows lässt sich auch noch auftreiben den soudnkarte treibe hab ich auch noch ! und ich glaueb ich mach das morgen oder vllt. auch noch heute !
Aber obwohl ich es geupdatet habe hat er kein SP 1-2 schweige denn installiert !