Hallo an alle Leser und natürlich an die Mods.

wie im Titel schon erklärt steht versteh ich bei meinem log nur Bahnhof und deswegen hätte ich gerne einen Dolmetscher der mir hilft

prolog:
Ich hatte vor ca. 1 Wochen mit World of Warcraft probleme daraufhin hat mein Opa erstmal den PC wieder fit gemacht (ua wieder tuneup untilities inst.) daraufhin wollte ich wieder freudig in meine Onlinewelt springen aber scheinbar hat das defragmentieren das spiel völlig irre werden lassen.

Zack nicht lang gefackelt deinst. -> inst. upgedated (bis 2.0.1 ohne irgendwelche probleme) als ich aber dann den luncher angeworfen habe kam plötzlich eine Warnung das ich einen trojana namens "Trojan-Downloader.Win32.Agent.uj" mein eigen nennen durfte.

allerdings hat tuneup nix auswirken können, hab ich fast nicht anders erwartet, also ab auf google und problem suchen finden zerstören mani wie es der terminator machen würde. dann bin ich hier aufgeschlagen.

ich habe mir HijackThis gezogen und problemlos inst. und nun steh ich da und habe diesen log, mit dem ich soviel anfangen kann wie mit einer Fernbedienung ohne Fernseher.

also hier mein log
----------------

Logfile of HijackThis v1.99.1
Scan saved at 17:45:34, on 20.12.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
D:\WinAmpPlayer\winamp51_fully_loaded\Winamp\winampa.exe
C:\Programme\winupdates\winupdates.exe
C:\Programme\outlook\outlook.exe
C:\WINNT\system32\winlog.exe
C:\WINNT\system32\nfomon\nfomon.exe
C:\WINNT\system32\vidmon\vidmon.exe
C:\Programme\webHancer\Programs\whagent.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\svchost.exe
C:\DOKUME~1\Dennis1\EIGENE~1\SMBOLS~1\arpa.exe
D:\firefox\firefox.exe
D:\WinAmpPlayer\winamp51_fully_loaded\Winamp\winamp.exe
D:\FIREFOX\FIREFOX.EXE
E:\games\World of Warcraft\Launcher.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\{88A52BBB-07C6-1031-0818-030818200031}\Update.exe
D:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R3 - URLSearchHook: (no name) - {DCFE900E-2CEB-214A-9D68-0AE55B6B1097} - C:\WINNT\system32\yyoc.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\laber-progs\icq-5\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\{F7043BD6-BC72-4E66-AB92-34AEEC5AA61A}.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38A52~1\Bar888.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O2 - BHO: (no name) - {DCFE900E-2CEB-214A-9D68-0AE55B6B1097} - C:\WINNT\system32\yyoc.dll
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Programme\PeDevice\PeDev.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\laber-progs\icq-5\ICQToolbar\toolbaru.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\{F7043BD6-BC72-4E66-AB92-34AEEC5AA61A}.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38A52~1\Bar888.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\WinAmpPlayer\winamp51_fully_loaded\Winamp\winampa.exe
O4 - HKLM\..\Run: [nvchost] C:\WINNT\winlogon.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [{88A52BBB-07C6-1031-0818-030818200031}] "C:\Programme\Gemeinsame Dateien\{88A52BBB-07C6-1031-0818-030818200031}\Update.exe" mc-110-12-0000137
O4 - HKLM\..\Run: [Nfo] C:\WINNT\system32\nfomon\nfomon.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Ttpm] "C:\DOKUME~1\Dennis1\EIGENE~1\SMBOLS~1\arpa.exe" -vt yazb
O4 - Global Startup: svchost.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\laber-progs\icq-5\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\laber-progs\icq-5\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\laber-progs\icq-5\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{06458EAF-C8C2-487D-B53B-4DB6306378D1}: NameServer = 85.255.114.99,85.255.112.229
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE66A9F7-EA8C-413F-A47F-DB8AF70D40A0}: NameServer = 85.255.114.99,85.255.112.229
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.229
O17 - HKLM\System\CS1\Services\Tcpip\..\{06458EAF-C8C2-487D-B53B-4DB6306378D1}: NameServer = 85.255.114.99,85.255.112.229
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159
O17 - HKLM\System\CS2\Services\Tcpip\..\{06458EAF-C8C2-487D-B53B-4DB6306378D1}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.99 85.255.112.229
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINNT\system32\svchosts.exe" -e mc-110-12-0000137 (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


bitte helft mir mein Online-Held lvlt nicht von selber

ggf kann ich noch einen log von Silent Runners posten falls das hier nicht weiterhelfen sollte.

danke schonmal im vorraus
PS werde morgen 20 sprich wenn ihr bis dahin das problem löst hättet ihr mir ein 1a geb-geschenk gemacht

mfg
StephanDerrick

mOIn auch

du hast u.a. mehrere aktive Backdoortrojaner im System,
dazu kommt eine Umleitung deines Internetverkehrs über die Ukraine die deine Surfgewohnheiten und Passwörter versuchen auszuschnüffeln.

Nehme deinen Rechner schellstmöglich vom Netz und folge dieser Anleitung zum Neuaufsetzen des Systems und NEIN es gibt keine andere Möglichkeit, ändere alle Passwörter nach der Neuinstallation.

MFG

Hallo.

Dein System ist definitiv als KOMPROMITTIERT anzusehen!

Grund:

Zitat:

O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Programme\PeDevice\PeDev.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\{F7043BD6-BC72-4E66-AB92-34AEEC5AA61A}.dll
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe
O4 - Global Startup: svchost.exe
O10 - Hijacked Internet access by WebHancer
O23 - Service: COM+ Messages - Unknown owner - C:\WINNT\system32\svchosts.exe" -e mc-110-12-0000137 (file missing)

Auslöser dafür ist das:

Zitat:

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Dir fehlen jede Menge Sicherheitsupdates, somit ist eine Infizierung unvermeidbar...

RBOT-Wurm
W32/Agobot
Backdoor HAZZOR

Ich kann dir nur noch zu einer Neuinstallation raten, alles ander wäre sinnlos und würde zu keinem befriedigendem Ergebnis führen!

Gruß
Sunny