Ich hoffe ihr habt n bisschen Zeit mein Problem zu lesen wäre euch sehr dankbar...

So nun ich hab ein sagen wir mal schwerers Problem...
Alles fing etwa vor ner Woche an, ich habe mein Windows neu installiert, und habe gleich nach der Installation den Internet zugang eingestellt...sofort nach dem ich meine Router Ip configuriert hatte öffnete der Windows nachrichten dienst 3-4 pop ups... mit anleitungen wie ich meine angeblich kaputte regitry reparieren soll... natürlich alles weggeklickt und erstma den nachrichten dienst deaktiviert... so weit so gut...

Antivir draufgehaun und schnell scannen lassen, er hat auch folgendes gleich gefunden: w32/virtut.A (o. ä.) ...
Naja hab das ding gelöscht und dachte gut is... das blöde ding hatte sich aber dummerweise auf meine partitionen c und d kopiert (in D:\ ist windows installiert worden).
Gut partitionen scannen lassen und den w32 gleich 600 mal in irgendwelchen .exe gefunden. Alles gelöscht, D:\ platt gemacht und windows neu drauf.
Das ganze hat etwa eine Woche gehalten bis heute... windows ist heute einfach so abgestürtzt und bootete nicht mehr...
Windows neu installiert... kopiert probleme von windows dateien gehabt, und beim zugriff auf partionen den fehler erhalten, dass Dateien und etc nich mehr vorhanden wären.

Alles platt gemacht, Win nochma neu drauf und gleich den nachrichtendiesnt deaktiviert... jetzt ist eine partition komplett verschwunden... und es versuchen sich dubiose dateien (siehe log) ins internet zu connecten (auch ne mp.exe).
Ka wo die aufeinmal herkommen...

Wenn ich mit meinem "alten" windows (auf G:\)das ich noch auffer anderen partition habe boote ist die verschwundene partition wieder da, und vom "alten" windows wollen auch keine dateien connecten:

Log vom neuen Windows auf D:\

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 21:35:21, on 04.09.2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOW\System32\smss.exe
D:\WINDOW\system32\winlogon.exe
D:\WINDOW\system32\services.exe
D:\WINDOW\system32\lsass.exe
D:\WINDOW\system32\svchost.exe
D:\WINDOW\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOW\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOW\System32\nvsvc32.exe
D:\WINDOW\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOW\SOUNDMAN.EXE
D:\WINDOW\System32\spoolsvc.exe
D:\Programme\ICQLite\ICQLite.exe
D:\WINDOW\System32\RUNDLL32.EXE
D:\Programme\Messenger\msmsgs.exe
C:\dihd.exe
D:\WINDOW\System32\wpabaln.exe
D:\Programme\Winamp\Winamp.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\*****\Desktop\hijackthis_199\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOW\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Spooler SubSystem App] D:\WINDOW\System32\spoolsvc.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOW\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOW\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] D:\WINDOW\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOW\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOW\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9E4D74B-A371-4FAC-987B-1F938D017174}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOW\System32\nvsvc32.exe
O23 - Service:  Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
         

Guten Abend,

also ich verstehe deine vorgehensweise nicht ganz!


Warum machst du nicht alles Platt? Warum lässt du immer ne alte Windowsinstallation auf irgendeiner Platte?

Du hast definitiv diesen im System.
Warum spielst du kein SP2 und sämtliche Updates auf, bevor du Online gehst?
Link zum Neuaufsetzen in meiner SIG!
Befolge diesen und du wirst keine Probleme mehr haben!


Gruß Mellosun

na problem an der sache sind etwa.. 200 gig an Daten?
möchte nich unbedingt das alles verlieren...

naja in der registry steht er unter run; Advanced DHTML Enable

Logged der auch "persönliche daten" oder so..(wien trojaner)
oder will er sich nur weiterverschicken und schaden anrichten?

Guten Morgen,

Zitat:

W32/Sdbot-KD ist ein Netzwerkwurm mit Backdoor-Funktionalität, wodurch ein remoter Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen erhält.
Jedes Mal, wenn der Wurm ausgeführt wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. Der Wurm läuft dann als Serverprozess im Hintergrund und wartet auf Befehle zum Ausführen.


Damit sollte die Frage ja beantwortet sein.
Was sind das für Daten?
Du kannst alles sichern, was keine ausführbare Datei ist......aber bei 200 GB wird das wohl etwas schwierig!

Gruß Mellosun