Guten Tag allerseits.

Bekam gerade den Anruf eines Freundes (stimmt tatsächlich!).
Folgende Aussage: Alle Antivirenprogramme, Firewalls, Firefox und sogar Anti-Virus Seiten im Internet werden deaktiviert bzw. nicht aufgerufen!

Meine Schlussfolgerung daraus: Virenbefall! (bitte keinen Applaus...:aplaus: )

Da wir 600km weit auseinander wohnen, kann ich nicht mal schnell hinfahren um nach dem Rechten zu sehen.
Ergo: Welcher Virus, Wurm, Trojaner, etc. könnte das sein, und wie bekomme ich Ihn (über Telefon!!!) am schnellsten kaputt?

Besten Dank für Eure Antworten!

Grüße
Fuzzy

Zitat:

Zitat von Fuzzy

Guten Tag allerseits.

Bekam gerade den Anruf eines Freundes (stimmt tatsächlich!).
Folgende Aussage: Alle Antivirenprogramme, Firewalls, Firefox und sogar Anti-Virus Seiten im Internet werden deaktiviert bzw. nicht aufgerufen!

Meine Schlussfolgerung daraus: Virenbefall! (bitte keinen Applaus...:aplaus: )

Da wir 600km weit auseinander wohnen, kann ich nicht mal schnell hinfahren um nach dem Rechten zu sehen.
Ergo: Welcher Virus, Wurm, Trojaner, etc. könnte das sein, und wie bekomme ich Ihn (über Telefon!!!) am schnellsten kaputt?

Besten Dank für Eure Antworten!

Grüße
Fuzzy

Hallo,

"kaputt" bekommst du da meiner Ansicht nach garnichts mehr! Wenn es schon so extrem ist, das fast alle Sicherungsmaßnahmen deaktiviert werden, wird es wohl kaum um eine Neuinstallation herumkommen!
Zumal es sehr schwierig ist herauszubekommen, welcher Schädling dahinter steckt.
Dein Freund soll mal ein Hijacklog nach der ANleitung in meiner Signatur posten, aber viel Hoffnung kann ich ihm damit nicht machen.

Gruß
Sunny

Hallo und besten Dank für die Antwort.

Nach einiger Telefondiagnose (Registry und Co.) hat der Stinger einen Namen ausgespuckt: W32/sdbot.worm!
Dieser Satan macht laut Internetbeschreibung genau das, welches mein Kumpel mir beschrieb! Somit denke ich nun, dass er wohl der Übeltäter ist!

Wie bekomme ich den jetzt am besten weg?

Besten Dank für alle Antworten!!!

Grüße
Fuzzy

Das ist einfach. Dein Freund muss einfach der Anleitung zum Backdoor-Entfernen in meiner Signatur folgen.

Gruß
Yopie

Na denn mal Danke für die rasche Antwort!

Habe schon ein bischen Angst... am Telefon Backdoors zu entfernen stelle ich mir grausam vor!!! (Habe das vor einiger Zeit mal getan...)

Aber: Versuch macht kluch!

Besten Dank nochmal!!!

Gruß
Fuzzy

Schau dir zunächst die Anleitung an!

Gruß
Yopie

Also:
Folgendes Log-File hat er angezeigt:

Logfile of HijackThis v1.99.1
Scan saved at 18:54:53, on 27.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Sygate\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\wkssvr.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,wkssvr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunServices: [Windows HTTP Services] httpd32.exe
O4 - HKLM\..\RunServices: [Sun Java Console for Windows NT & XP] jconsole.exe
O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_EN_XP.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4658C78E-089D-4B98-9670-8D16EDDA234D}: NameServer = 195.50.140.114 195.50.140.252
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: netconf32 - Unknown owner - C:\WINNT\netconf32.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Sygate\smc.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

Was mus ich denn nun fixen?

Du hast dir die Anleitung von Yopie immer noch nicht angesehen, aber ich helfe dir mal, das musst du FIXEN:

Zitat:

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

Gruß
Sunny

EDIT: Moin Yopie

Zitat:

Zitat von Fuzzy

Was mus ich denn nun fixen?

Bei einem Backdoor hilft kein Fixen, sondern nur Formatieren und neu aufsetzen.

Gruß
Yopie

Sch...

Das bekommt der mit Sicherheit nicht alleine hin, schon weil er mit Sicherheit alle Treiber verschlampt hat!!!

Kann man wenigstens gefahrlos wichtige Dokumente sichern, wenn es keinen Weg gibt, den Wurm zu entfernen?

Gelöscht....