Hallo,
ich hoffe ich bin hier richtig, ich hatte nen Wurm drauf der sich BDS Ciadoor13.B nannte AV scanner hat ihn letztendlich gelöscht...
Mein Problem ist das ich nicht in die Registry komme da erscheint die Meldung "Bearbeitung der Registry wurde durch Administrator gesperrt" beim Versuch den Taskmanager das gleiche "Taskmanager wurde vom Admin deaktiviert"! Bei Windows Media Player kommt beim Öffnenwollen einer Datei 2-unendlich oft direkt hintereinander folgende Meldung "Prozedureinsprungpunkt "GetIUMS" wurde in der DLL "MSDART.DLL" nicht gefunden."
Meine Fragen wie komm ich wieder an meine Registry und meinen Taskmanager und was hat die Meldung beim WinMediaPlayer zu bedeuten?
Hoffentlich könnt ihr mir helfen bin in der Hinsicht nich der Hellste..
Danke und Gruß Wip Dip.

Guten Abend,

du weißt schon, das Dein Rechner nicht mehr Vertrauenswürdig ist?
Bei Backdoor befall ist die einzig sichere und Vernünftige Lösung ein Neuaufsetzen des Systems.

Info zu Deinem Schädling

Poste mal nen Hijacktis Log. Aber ich denke, das Neuaufsetzen die einfachste, sicherste und schnellste Lösung ist!


Gruß Mellosun

Also ich hatte nur Windows nochmal drüber installiert, ohne Formatierung...
Hab jetzt mal n HJT scan gemacht:
Logfile of HijackThis v1.99.1
Scan saved at 12:52:35, on 13.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F53F6D-91F1-4089-96AC-632A4EE685CC}: NameServer = 195.71.164.115 193.189.244.205
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Also ich musste da nix umbennen oder so und der BDS wurde vom Avira AV scanner schon vorm Systemneuinstallieren gelöscht. Hoffe ihr könnt mir mit der log weiterhelfen.

Danke und Gruß Wip Dip.

Zitat:

Also ich hatte nur Windows nochmal drüber installiert, ohne Formatierung...

Hallo,

das war sehr sinnvoll, die Arbeit hättest du dir sparen können!!!
Ein einfaches "drüberwegbügeln" hilft in solch einem Fall nicht immer, eigentlich garnicht. Kann sein das du bald wieder Probleme bekommst. Ein Mekrmal wäre zum Beispiel das hier:

Zitat:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Schau nach ob du deine Registrierung öffnen kannst.
Start->Ausführen->regedit "ENTER"

Oder hast du selber deine Registrierung gesperrt?

Gruß
Sunny

EDIT: zu langsam Mellosun°!

Hallo,

Zitat:

Zitat von Wip Dip

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Warum ist kein SP2 Installiert? Kein Wunder, das du Probleme hast!
Installiere SP2 und mache einen eScan nach Anleitung . Poste das Ergebnis mit hilfe der Find.zip! Also genau Lesen und dannach handeln!


Gruß Mellosun

EDIT: Werde alt [Gc] Sunny

Zur Registry: genau das hab ich schon im ersten Post geschrieben, das ich nicht rein kann und ich hab sie nicht gesperrt...das Gleiche mitm Taskmanager der geht auch nich (war auch der administrator)...
Das das "Drüberbügeln" nix gebracht hat hab ich selber schon feststellen können, da sich ja nix geändert hat.
Kann ich den Eintrag in der log mit dem O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
dann einfach fixen?

Zitat:

Zitat von Wip Dip

Zur Registry: genau das hab ich schon im ersten Post geschrieben, das ich nicht rein kann und ich hab sie nicht gesperrt...das Gleiche mitm Taskmanager der geht auch nich (war auch der administrator)...
Das das "Drüberbügeln" nix gebracht hat hab ich selber schon feststellen können, da sich ja nix geändert hat.
Kann ich den Eintrag in der log mit dem O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
dann einfach fixen?

Du solltest dein System nochmals richtig "platt" machen, denn das du den Taskmamager sowie die Registrierung nicht aufrufen kannst ist NICHT normal! Mach es diesmal gründlich, lies dir den Link zum "Neuaufsetzen" in meiner Signatur durch, befolge ihn, arbeite ihn ab, druck ihn dir aus...nur so kriegst du dein System wieder hin..
Eine andere Möglichkeit gibt es nicht..

Gruß
Sunny

Hab mir das schon durchgelesen, es gibt keine andere sichere Möglichkeit?? Ich muss alles formatieren und alles neu einrichten etc.?
Kannst du mir wenigstens noch die Hintergründe dazu erklären, das ichs vielleicht nochn bissl besser versteh?

Zitat:

Zitat von Wip Dip

Hab mir das schon durchgelesen, es gibt keine andere sichere Möglichkeit?? Ich muss alles formatieren und alles neu einrichten etc.?
Kannst du mir wenigstens noch die Hintergründe dazu erklären, das ichs vielleicht nochn bissl besser versteh?

Eine andere Möglichkeit gibt es leider in deinem Falle nicht!!

Hier nochmal das, was der Schädling alles kann:

Zitat:

• Terminierung von Sicherheitsprogrammen
• Erstellt Dateien
• Erstellt eine potentiell gefährliche Datei
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

Der Schädling ist schon einer der "übelsten" Sorte! Es kann dir niemand genau sagen was noch alles in deinem System verändert wurde.
Ich gebe dir nur den Rat, alle Passwörter (Ebay, Online-Banking, etc.) zu ändern, das System schnelsstmöglich vom Internet zu trennen, und eine komplette Neuinstallation durchzuführen.

Hier nochmal dir genaue Bezeichnung, was der Trojaner alles kann, lies dir vor allem den unteren Teil durch:
Sende Informationen über:
Möglichkeiten der Fernkontrolle:

http://www.avira.com/de/threats/sect...iadoor.bo.html

Also die besagten Dateien hat er nicht erstellt das hab ich schonmal geschaut... in die Registry komm ich wieder genauso wie in den Taskmanager und die Eingabeaufforderung. Kann ich nicht auch die ganzen Registryeinträge überprüfen und löschen/ändern?
Bei der wsock32.sys hat der AV scanner auch gleich erkannt was los is und die gelöscht..
Meine Frage wieso is die Bedrohung noch da wenn der AV Scanner nix mehr findet, also wie kann jetzt jemand auf den PC zugreifen?

Zitat:

Zitat von Wip Dip

Meine Frage wieso is die Bedrohung noch da wenn der AV Scanner nix mehr findet, also wie kann jetzt jemand auf den PC zugreifen?

Woher soll ich das wissen, ICH hab diesen Trojaner nicht "geschrieben" oder modifiziert. Zumal der Trojaner nicht immer alles so schön macht, wie es AVIRA oder andere AV-Hersteller beschreiben. Sonst wäre es ja zu einfach.
Die Schädllinge werden ja nacheinander "modifiziert", d.h. sie werden wieder verändert, sodass sie nicht so schnell vom AV_Scanner erkannt werden.#
Daher gibt es auch eine riesige Zahl an Schädlingen..

Also, nicht lange fackeln, und formatieren

Hab mit XoftspySE nen Scan gemacht und da die gefährlichen Sachen gelöscht. 1 Find ich aber nicht: der is mit s3d_auto_file angegeben! wie kann ich den auch löschen? Das Teil macht irgendwas im IE und zeichnet alles auf!

@Wip Dip
es ist leider wirklich so, wie Sunny schreibt.
Wenn du dein System neu aufsetzt, denke gleich an das Servicepack 2 für Windows XP, falls du es nicht inzwischen heruntergeladen hast.

Ein kompromittiertes System ist nicht mehr dein Eigentum!
Du kannst dir die Zeit nehmen um an deinem PC zu üben, hier löschen, da neu installieren. Glück wirst du mit dem System nicht mehr.

warte ich suche dir die Geschichte vom NetBOT
(Schade ich finde sie nicht, hat irgendeiner hier in der Signatur).

In diesem Zustand jedenfalls wird dein PC von anderen aus dem Internet zum kräftigen Geldverdienen benutzt!
Gönne ihnen nicht deine Nerven, deine Zeit und deinen Strom.

PP

Ok ich glaub euch jetzt, denn ich hab grad mit eScan nen Scna gemacht ja ich glaub auch das ich so nimmer glücklich werde....

Um was gings in der Geschichte so grob zusammengefasst?