Hallo,

folgendes Prob:
Konnte plötzlich keine Anwendungen mehr öffnen. Admin rechte waren weg.
Inzwischen können Anwendungen nicht mehr geöffnet, werden, da sie nicht mehr erkannt werden. Auf die Systemsteuerung kann nicht zugegriffen werden, weil lt. Meldung die rundll32 fehlt?!? Lt. AVG ist diese aber vorhanden und OK.

Habe AVG im abgesicherten Modus zum Laufen gebracht und verschiedene Würmer und Trojaner gefunden, sowie gelöscht (u.a.: backdoor.sdBot.WDL).

Folgen mein Log, mit der Hoffnung um Hilfe.

Wenn eine Lösungsmöglichkeit besteht, bitte etwas genauer Beschreiben, wie man das in HijackThis alles macht. Habe noch nie damit gearbeitet.....


Folgende Prozesse wurden nicht aufgezeichnet:
avgw.exe
csrss.exe
wdfmgr.exe




Logfile of HijackThis v1.99.1
Scan saved at 07:55:37, on 18.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\****\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A20377F-07DB-4EB5-AE9A-3866D92BF446}: NameServer = 192.168.0.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe



Vielen Dank schonmal!!!!!!
Grüße - Staub

P.S: Welche auswirkung hat 'fixen' ?

PPS: Zudem sind auf O1 mehrere Hosts mit [IP(?)]- Web-Adressen angegeben.... *achselzuck*
BSP: O1 - Hosts: 145.127.157.** update.symantec.com
O1 - Hosts: 54.3.61.** updates.symantec.com

Hi,

Zitat:

u.a.: backdoor.sdBot.WDL

was gab´s da noch zu reparieren?
Auswirkungen davon siehst Du ja.
Also System neu aufsetzen und der Spuk ist vorbei.
cacatoa
edit: wo sind die O1 Einträge in deinem Logfile? Du reparierst rum, ohne zu überlegen und Deine Infos sind unvollständig. Dies als Hinweis für das nächste Mal. Vor dem Neuaufsetzen rettet dich erst mal nichts.

Danke für die Antwort!
System neu aufsetzen ist aber bissle Besch***** weil da docs drauf sind, die mehr als wichtig sind!

Was es da noch zu reparieren gab?!? Ganz einfach die infizierten Daten von dem bot runtergelöscht.

edit: wo sind die O1 Einträge in deinem Logfile? Du reparierst rum, ohne zu überlegen und Deine Infos sind unvollständig. Dies als Hinweis für das nächste Mal.
O1 Einträge habe ich lediglich aus dem Logfile genommen! Habe nirgends 'rumrepariert'!
Dies geschah aus einer Überlegung...
Meine Infos sind unvollständig? Deine Hilfe auch!
Sei mal freundlich, und frag was du noch wissen musst um Doktor zu spielen!!
Vielleicht gibt es Leuts, die eben einfach keine Ahnung von so dumm Zeugs-Virus-Gedöhns haben. Woher soll ich dann also wissen, was du ausser dem Log noch benötigst?!?!?!?!?!?!??!

Wenn ich Hellseher wäre, dann hät ich hier sicherlich nicht nachgefragt, sondern häts selber erledigt!!

Danke für die Unterstützung!!!!!!




Für was soll denn dann das Log eingestellt werden, wenns sowieso immer heißt 'Neu-Aufsetzen'!
Dafür brauch ich net so'n Aufwand betreiben wie hier.....


Wäre vllt. jemand anderes Bereit, etwas klarer zu formulieren was ich noch machen kann, ausser FORMAT alles! Bzw. gezielt nachfragen kann, wenn noch Infos benötigt werden?

Wäre sehr nett... Danke

@Milchstaub

Zitat:

Für was soll denn dann das Log eingestellt werden, wenns sowieso immer heißt 'Neu-Aufsetzen'!

Wenn du mit dem sinnvollen Ratschlag von cacatoa nicht einverstanden bist, geh und such nach der Hilfe woanders. Solchen Posting konntest du dir ersparen.
Es wäre auch gut, wenn du das Thema "Backdoor" mit einem MS-Security Program Manager weiter besprichst.

So, also:
1. Fahr mal ein bißchen runter; Dein Ton ist unangebracht.
2. Du postest ein unvollständiges Logfile und erwartest dazu Hilfe? Das mach mir mal vor.
3. Du hast nach eigenen Angaben einen Backdoor-Trojaner drauf und beschwerst Dich, weil Dir empfohlen wird, dein System neu aufzusetzen? Nimm Google zur Hand und lies nach, was Backdoor-Trojaner sind und was sie können, bzw. an Deinem System verändern.
4. Du gehörst offenbar zu denen, die sich durch ihr Surfverhalten das System zerschießen, dann Hilfe wollen und wenn man bei hochgradiger Verseuchung ein Neuaufsetzen empfiehlt, rumpöbeln und "Ihre" Hilfe - und das ganze ein bißchen flott - haben wollen. Und zwar dergestalt, daß man ja die Finger von einer Neuinstallation lassen solle, aber stundenlanges rumreparieren nimmt man gerne in Kauf...
5. Zu deiner Sicherheit und der der anderen Nutzer im www wirst Du hier am Board keine andere Empfehlung bekommen.

Und nun im allgemeinen:
Die Dokumente (keine ausführbaren Dateien), die Du brauchst, scannst du mit einem Virenscanner und wenn sie in Ordnung sind, brennst Du sie auf CD. Somit kannst Du sie später wieder einbinden.
Die Programme, die nach der Neuinstallation ja weg sind, spielst Du neu auf.
Bevor Du Dir allerdings irgendwelche Progs aus dem Netz lädst, beachte zuvor die Absicherung Deines Systems, sonst bist du gleich wieder hier. Die genaue Anleitung, mit der nichts schiefgehen kann, habe ich Dir im ersten post verlinkt.

Zitat:

Zitat von Milchstaub
Vielleicht gibt es Leuts, die eben einfach keine Ahnung von so dumm Zeugs-Virus-Gedöhns haben. Woher soll ich dann also wissen, was du ausser dem Log noch benötigst?!?!?!?!?!?!??!

Hier waren schon wesentlich ahnungslosere, die es geschafft haben, ein komplettes Logfile zu posten, ohne aus "einer Überlegung" Teile des Logfiles herauszunehmen....

Zitat:

Zitat von Milchstaub
Für was soll denn dann das Log eingestellt werden, wenns sowieso immer heißt 'Neu-Aufsetzen'!

Wenn Du ein bißchen im Board gestöbert hättest, müßtest Du nicht irgendwelche ***-Parolen nachträllern, sondern Du hättest gesehen, daß hier geholfen wird, wann immer es geht; allerdings hättest Du auch bemerkt, daß der Tenor hier an Board der ist, bei Backdoor-Trojanern nicht zu reparieren - was keine Sicherheit bietet - sondern neu aufzusetzen.

Zitat:

Zitat von Milchstaub
Danke für die Unterstützung!!!!!!

Gern geschehen.
cacatoa

Edit: Servus Rene-Gad!

zu 4.
Liegst leider komplett falsch!
Gehöre eher zu der Sorte die mit einer begründeten Meinung (15 Zeilen) mehr anfangen können, als mit ein bisschen larifari 3-zeiler.

Das ich mein System neu aufsetzen werde ist schon logisch....
Bevor ich jedoch irgendein Art von 'Datensicherung machen kann, sollten vielleicht auch die benötigten Progs dazu wieder laufen, oder? Und dazu muss ich wohl oder übel erstmal versuchen zu reparieren.

Glaub mir, wenn ich etwas versuche zu tun... dann macht das sinn... und net weil ich mit irgendwelchen Gewohnheiten ständig den PC zerschieße.

Bisher hatte ich noch keine Probs mit Virs!

Grüße

Hier mal gucken. Ist ein Ansatz.
cacatoa

Danke, bin dran...
System.ini hab ich 2 stück auf dem Rechner?!?
Eine im Win file und eine im T-Online File... normal?
nehme mir mal die im Win-file zur Brust...

nix zu machen, funzt net...