pc lässt sich nur im abgs. modus starten.

im normalen geht er kurz in Win rein und rebootet dann sofort.

im abgs. modus ist iexplore.exe offen, unmöglich zu schliesen oder zu löschen.

im taskm springt sie hin undh er. bekommt dauernd ne neue PID.

unfassbar.....

hier meine hijack logs:

Logfile of HijackThis v1.99.1
Scan saved at 19:38:39, on 04.12.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ctfmon.exe
J:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WScheduler] D:\PROGRA~1\SYSTEM~1\WScheduler.exe /LOGON
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "e:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "d:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Face Active Two City] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bits body face active\DOG STOP.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\Services.exe
O4 - HKLM\..\Run: [System] C:\WINNT\system32\kernels1118.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINNT\system32\spoolsvv.exe
O4 - HKLM\..\Run: [Nord] C:\WINNT\system32\nordsys.exe
O4 - HKLM\..\Run: [System64] C:\WINNT\system32\inet.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\system32\kernels1118.exe
O4 - HKLM\..\RunServices: [SystemTools32] C:\WINNT\system32\inet.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "E:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Blah Tons] C:\DOKUME~1\GULENK~1\ANWEND~1\COPYHE~1\name proxy.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Nord] C:\WINNT\system32\nordsys.exe
O4 - HKCU\..\Run: [taskdir] C:\WINNT\system32\taskdir.exe
O4 - HKCU\..\Run: [Key] C:\DOKUME~1\GULENK~1\LOKALE~1\Temp\29.tmp
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with NetPumper - d:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43827B81-AFC3-46B5-976A-3D75B0B2D7D7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{43827B81-AFC3-46B5-976A-3D75B0B2D7D7}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{43827B81-AFC3-46B5-976A-3D75B0B2D7D7}: NameServer = 192.168.2.1
O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll
O20 - Winlogon Notify: winsys2freg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\winsys2f.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - E:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - E:\Programme\T-DSL SpeedManager\TSMSvc.exe

mOIn

Bei so vielen bösen Einträgen, würd ich mich auch weigern zu funktionieren

Zitat:

O4 - HKLM\..\Run: [Face Active Two City] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bits body face active\DOG STOP.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\Services.exe
O4 - HKLM\..\Run: [System] C:\WINNT\system32\kernels1118.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINNT\system32\spoolsvv.exe
O4 - HKLM\..\Run: [Nord] C:\WINNT\system32\nordsys.exe
O4 - HKLM\..\Run: [System64] C:\WINNT\system32\inet.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\system32\kernels1118.exe
O4 - HKLM\..\RunServices: [SystemTools32] C:\WINNT\system32\inet.exe
O4 - HKCU\..\Run: [Blah Tons] C:\DOKUME~1\GULENK~1\ANWEND~1\COPYHE~1\name proxy.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Nord] C:\WINNT\system32\nordsys.exe
O4 - HKCU\..\Run: [taskdir] C:\WINNT\system32\taskdir.exe
O4 - HKCU\..\Run: [Key] C:\DOKUME~1\GULENK~1\LOKALE~1\Temp\29.tmp

Unter anderem ist dieser in deinem System aktiv :
http://www.sophos.de/security/analyses/w32sdbotbfx.html
* Schaltet Antiviren-Anwendungen aus
* Ermöglicht Dritten den Zugriff auf den Computer
* Verändert Daten auf dem Computer
* Löscht Dateien vom Computer
* Stiehlt Daten
und der
http://www.sophos.de/security/analyses/w32rbotqe.html
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Lädt Code aus dem Internet herunter
* Reduziert die Systemsicherheit
* Speichert Tastenfolgen
* Installiert sich in der Registrierung

außerdem hast du 2 Würmer die selbstständig Emils verschicken usw. usw.

Mein Rat nimm den Rechner schnellstens vom Netz und folge dieser Anleitung, ändere alle Passwörter und öffne in Zukunft nicht jeden E-Mailanhang.

MFG

der rechner war sofort vom netz wo es anfing.

also wenn ich die reg. einträge lösche und 2 patches gegen die 2 würmer reinhau , hmm dumm an der stelle zu fragen obs damit erledigt ist . ich weis das es nich so ist und nur ein reinstall des systems wirklich weiterhilft -.- hmmmm verdammt :|

wer findet passende patches?

bin am googlen , lande aber nur immer wieder auf der info page von sophos

und dort gibts nur "prävenzions" patches

Zitat:

Zitat von stalker2k3

wer findet passende patches?

bin am googlen , lande aber nur immer wieder auf der info page von sophos

und dort gibts nur "prävenzions" patches

Hier helfen keine Patches mehr, hier hilft nur der Link von Nochdigger