Hallo,

bin gerade mit kaum vorhandenem Computerfachwissen dabei, den Rechner von meiner Freundin zu "reparieren". Komme dabei aber nicht wirklich weiter. Das Hauptproblem ist, dass häufig irgendein Programm die Internetverbindung (Modem) blockiert, indem es irgendwelche Daten uploadet. Habe schon AntiVir heruntergeladen und den Rechner auf Viren gescannt: Dabei gab es eine Menge Funde. Die Dateien habe ich soweit möglich gelöscht. Allerdings tritt das Problem mit der Internetverbindung immer noch auf. Ich habe auch einen Verdacht, woran es liegt, und zwar gibt es da einen Prozess MSMedia.exe, der von AntiVir als Trojaner vom Typ TR/Drop.Rootkit.L identifiziert wird und sich auch nicht einfach beenden lässt. Ich habe allerdings jetzt auf dieser Seite gelesen, dass es gar nicht so gut ist, einfach die gefundenen Dateien zu löschen, deshalb wollte ich fragen, wie ich jetzt weiter vorgehen soll. Ich habe einen Scan mit HijackThis durchgeführt, und das Log auf der Website analysiert. Dabei waren so viele verdächtige Dateien, dass ich jetzt gar nicht mehr weiß, was los ist. Vielleicht kann ja jemand helfen??

So, also hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:52:54, on 01.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\system32\ntvdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Roman\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\khhgh.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{11304ECD-142A-4D26-A1DA-75E1A1A0733E}: NameServer = 195.247.247.195 62.27.27.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{11304ECD-142A-4D26-A1DA-75E1A1A0733E}: NameServer = 195.247.247.195 62.27.27.62
O20 - Winlogon Notify: khhgh - C:\WINNT\system32\khhgh.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)

Vielen Dank schon mal,

Roman

Zitat:

Zitat von mersault

TR/Drop.Rootkit.L

Schlecht.

Zitat:

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Nicht aktuell, daher Sicherheitslücken. (freundlich ausgedrückt)

Befolge die Anweisung zum Neuaufsetzen in meiner Signatur genau.

Gruß
Yopie

OK, werd ich machen. Nur noch ein paar Fragen:

1. Verstehe ich das richtig, das "Neuaufsetzen" bedeutet: Ich fahr den Rechner runter, lege die Windows-CD ein und installiere das ganze Betriebssystem komplett neu (also nicht reparieren des alten), wobei die alten Daten auf der Festplatte doch glaub ich gelöscht werden, oder?

2. Im Rechner sind zwei Festplatten: Was mache ich mit der zweiten, auf der nicht das Betriebssystem ist, sondern nur ein paar Daten?

3. Ist nach der Neu-Installation von Windows der Trojaner defintiv weg oder kann er sich irgendwo verstecken? Ich habe nämlich eigentlich Win 2000 gerade erst neu installiert?

Danke und Gruß,

Roman

Zitat:

Zitat von mersault

1. Verstehe ich das richtig, das "Neuaufsetzen" bedeutet: Ich fahr den Rechner runter, lege die Windows-CD ein und installiere das ganze Betriebssystem komplett neu (also nicht reparieren des alten), wobei die alten Daten auf der Festplatte doch glaub ich gelöscht werden, oder?

Richtig. Nach dem Booten kommt ja irgendwann das Auswahlmenü, bei dem du die Partitionen auf Festplatte 1 löschst und neu erstellst / formatierst.

Zitat:

2. Im Rechner sind zwei Festplatten: Was mache ich mit der zweiten, auf der nicht das Betriebssystem ist, sondern nur ein paar Daten?

Wenns nur Daten und keine ausführbaren Dateien sind, kannst du die natürlich auf Festplatte 2 behalten bzw. dorthin sichern. Ein Post-Install-Scan mit einem guten Virenscanner kann trotzdem sicher nicht schaden.

Zitat:

3. Ist nach der Neu-Installation von Windows der Trojaner defintiv weg oder kann er sich irgendwo verstecken? Ich habe nämlich eigentlich Win 2000 gerade erst neu installiert?

Der ist dann weg. Bevor du ins Netz gehst, sämtliche Updates installieren (auf winboard.org gibt es Update-Packs, vor der Installation auf CD zu brennen!). Zur Sicherheit Verbindung ins LAN / WAN kappen. Andernfalls ist der Trojaner zwar weg, kommt aber wieder.

Gruß
Yopie