Hallo ihr genialen Fachleute,

da ich seit Tagen versucht habe, meinen Computer sauber zu bekommen (bei shangxing.backdoor) mit Erfolg und in Wirklichkeit keine Ahnung vom Computer habe, bin ich nun langsam mehr als verzweifelt. Ich hoffe, ich mach das hier richtig.

Das System ist Windows XP.

Wenn ich z.B. eScan durchlaufen lasse findet er mal den "possible fujacks-type worm" und heute "Iopcom Browser Hijacker"

Der EasyCleaner findet normalerweise 7-8 unnötige Dateien, seit paar Tagen immer über 400 - die immer in C:\Dokumente und Einstellungen\Media\Lokale Einstellungen\Temporary Internet Files zu finden sind.

Zwischendurch startet er extra langsam, das nächste Mal funktioniert die Tastatur nicht, dann beim andermal hochfahren kann ich über das T-Mobile web n walk nicht ins Internet, bleibt einfach hängen beim "öffnen des Ports" mit der Meldung, das Modem wird schon benutzt oder ist nicht richtig konfiguriert. Und seit gestern kann ich keine Mails raussenden weil der Empfänger vom Server nicht akzeptiert wurde...relaying denied. IP name lookup failed, Serverfehler 550, Fehlernummer 0x800CCC79 - es liegt anscheinend nicht am Internetanbieter, da ich von meinem alten Computer die Mails ganz normal verschicken kann.

Habe im Google nach Lösungen gesucht, aber anscheinend wird etwas nicht gefunden von den Anti-Virus Programmen - habe alle Möglichen viren-scan Programme runtergeladen (und zum Teil wieder entfernt, da keine Hilfe) aber das Problem besteht leider noch immer.

Ich weiss wirklich nicht weiter, kann mir jemand bitte, bitte helfen??
Tausend Dank im Voraus, Milesa

Anbei der (auf dieser Webseite abgeschaut) HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 01:26:30, on 21.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Antivirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Mobile\web 'n' walk Manager\web 'n' walk Manager.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Dokumente und Einstellungen\Media\Desktop\Archiv 7 xp\HiJackThis_v2.exe
C:\Programme\Norton Internet Security\ATRACK.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6825 bytes

Halli hallo.

Du scheinst dir ja wenigstens Selber zu helfen. Bevor dir aber irgendjemand helfen kann musst du dein System auf Service Pack 2 updaten!!!

DANACH gehts weiter:

Da du schon selber viel versucht hast machen wir das mal etwas unkonventionell:


- Lasse Spybot-S&D! und Ad-Aware über dein System schauen. Jeweils 1x im normalen und 1x im abgesicherten Modus.

-Lasse cCleaner aufräumen, die Registry mehrmals.

-Danach führe einen eScan nach Anleitung im abgesicherten Modus durch. Das Häkchen bei "Scan only" kannst du weglassen da du den eScan ja eh schon gemacht hast aber lies dir die Anleitung durch!

Gruß

Undoreal

Hallo,

herzlichen Dank für Deine Antwort. Leider hat es nicht wirklich funktioniert:

Beim downloaden der "Service Pack 2" bricht er bei ca. 100MB runterladen ab und ich bekomme die folgende Meldung:
C:\Dokumente und Einstellungen\Media\Lokale Einstellungen\Temporary Internet Files\Content.IE5\STIJ8X67\WindowsXP-KB835935_SP2_DEU(1).exe ist keine zulässige Win32-Anwendung
(Ist für mich doppelt tragisch da ich nur 800MB pro Monat habe - und jetzt 100 umsonst waren) (((

Wenn ich im abgesicherten Mode den Computer starte und den Ad-aware durchrennen lasse, meldet er 3mal dazwischen Ad-aware 6: Ad-aware.exe: Es befindet sich kein Datenträger im Laufwerk legen Sie einen Datenträger im Laufwerk \Device\Harddisk2\DR5 ein.

Der Spybot findet einen Data-miner: WebTrends Live in C:\Dokumente und Einstellungen\Media\cookies\media@statse.webtrendslive(2).txt

Und im abgesicherten Modus findet eScan nichts, im nicht abgesicherten: Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt

Ich bin wirklich, wirklich ratlos.
Herzlichen Dank im Voraus, Milesa

Lade dir Firefox Browser
Mit diesem Browser lädst du dir dann das Service Pack 2
Weil dein Browser anscheinend total veraltet ist. Außerdem ist der IE sowieso nicht zu empfehlen. Vorallem nicht bei einem so ungepachten System.

Bei den von dir gefundenen Dateien handelt es sich um Cookies. Sie nicht gefährlich, weil es nur kleine Textdateien sind.
Wie gesagt erstmal SP2 installieren....

So wie sich das anhört musst du neuaufsetzten! Folge der Anleitung aus meiner Signatur..

Gruß

Undoreal

hallo,
vielen Dank euch allen. Das neu aufsetzen macht mich nicht sehr glücklich - ist ja klar. Da ich doch in einem kleineren Ort wohne, bin ich in den Nachbarort, wo eine kleine aber feine Computerfirma (verkauf, reparatur usw. wenn ich meinen Computer hinbringen würde pro Stunde eur 72,- *gulp*) ist und der nette Mensch dort meinte, eines kann ich noch versuchen:

Festplatte ausbauen, mit einem USB Anschluss von einem anderen Computer durchchecken mit allem was ich habe - also spybot, ccleaner, escan, norton, easycleaner ... da dann theoretisch auch die temporeren internet files gelöscht werden können - und da scheint ja der Bösling zu sitzen.

Tausend Dank für eure Bemühungen und vielleicht muss ich doch nicht neu aufsetzen, wenn doch, werde ich mich an deine Anleitung halten und vielen Dank nochmal.
Milesa