Hallo Leute!

Aaaalso, mein PC hier (WIN 2000 Professionell) ist ziemlich verseucht und treibt mich zur Verzweiflung. Da ich im Moment nicht neu aufsetzen kann, weil unser CD-Laufwerk hin ist, muss ich versuchen, ihn so gut wie möglich zu reinigen.... Bittebitte helft mir dabei, ich weiß nämlich nicht mehr weiter....

Im Moment geht's mir um einen Wurm namens W32/Sdbot-AFO, der sich in javams64.exe reinschreibt, hat irgendwas mit IRC zu tun. Und ausserdem ist da noch was: msnchecker.exe - Kaspersky, Trend, Sophos und McAfee haben schon einiges gefunden und (hoffentlich) auch gelöscht (bei Interesse kanni ch auch diese Logs posten), aber wohl nicht alles. Auch diese updt.pif File kommt mir komisch vor.... Und irgendwas stimmt mit [System Loader] 2\BLAH32.COM auch absolut nicht! Hab schon versucht, javams64.exe mit der Killbox zu löschen, des hat aber nicht geklappt.

Mein PC ist so wahnsinnig und fährt total oft mit Statuscode 128 herunter - ob das Sasser ist oder nicht, wer weiß es? Hab einen speziellen Sasser-AV durchlaufen lassen (guisass) aber der hat nix gefunden. Außerdem kommt total oft die Nachricht [272]Debugger detected - please disable it and restart the application. Einfach so, wenn ich im Netz bin. Und meist fährt der PC dann auch mit besagtem Statuscode 128 runter, nach 1min Countdown - keine Chance, ihn zu stoppen.

Ich weiß, das ganze ist echt schwierig, aber viell. gibt es ja einige unter Euch, die sich mit so kniffligen Verseuchungen auskennen?! Ich wär Euch jedenfalls unendlich dankbar für Eure Tipps!

LG,
Oberwabn


Logfile of HijackThis v1.99.1
Scan saved at 12:39:39, on 16.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
C:\Programme\aon\aonUpdate\aonUpdate.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\12Ghosts\12popup.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\WINNT\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Sabine\HijckThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: 12Ghosts Popup-Killer - {00000000-0007-5041-4354-0020e48020af} - C:\Programme\12Ghosts\12popup.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: 12-Popup - {00000000-0008-5041-4354-0020e48020af} - C:\Programme\12Ghosts\12popup.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [1aonmessagecenter] C:\PROGRA~1\aon\AONMES~1\aonMessageCenter.exe
O4 - HKLM\..\Run: [System Loader] 2\BLAH32.COM
O4 - HKLM\..\Run: [Updt Service] updt.pif
O4 - HKLM\..\Run: [Service Monitor] javams64.exe
O4 - HKLM\..\RunServices: [Updt Service] updt.pif
O4 - HKLM\..\RunServices: [Service Monitor] javams64.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: 12Ghosts Popup-Killer.lnk = C:\Programme\12Ghosts\12popup.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1134140915066
O17 - HKLM\System\CCS\Services\Tcpip\..\{12D30AA8-B830-4BF3-817F-E7C488A327E4}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AE17FB2-C19E-426C-B533-DE17EBAA9C89}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Hallo!

Zitat:

mein PC hier (WIN 2000 Professionell) ist ziemlich verseucht...

Das ist ehrlich gesagt noch Milde ausgedrückt.

Zitat:

aber viell. gibt es ja einige unter Euch, die sich mit so kniffligen Verseuchungen auskennen?!

Bestimmt gibt es einige hier on Board, aber bei dieser massiven Durchseuchung durch mehrere akitve Bots ist eine Bereinigung alles andere als sinnvoll.
Also gehe in den nächsten Laden deiner Wahl, besorge dir dort ein funktionsfähiges CD Laufwerk und setze dein System nach Anleitung (siehe meine Signatur) neu auf.

Ach Du schei..e.....

Tja, ehm danke..... Da Wochenende ist und ich schlecht ein Laufwerk kaufen kann - könnt ich nicht mal den allerbösesten Wurm/Virus loswerden irgendwie? *bitt*

LG,
Oberwabn

@Oberwabn
Nein, schau dir mal dieses an, das ist nur einer der Übeltäter.
Setze bitte dein system so schnell wie möglich neuauf, den link hat Cidre schon angegeben.

chaosman