Hallo..

ich bin neu hier und ich möchte von vornherein sagen, dass ich in diesem Bereich keinerlei Ahnung habe..

zum Problem: ich hatte um meine w-lan verbindung für nintendo ds einzustellen eine kurze zeit die firewall ausgeschaltet.
dann kam ein popup fenster mit der meldung, dass ich unbedingt das programm "registrycleanerxp" starten sollte..und mein pc wurde heruntergefahren..
habe mich durch diverse foren gelesen, im endeffekt den u.g. logfile von HijackThis auswerten lassen (bei w*w.hijackthis.de) und dabei 3 worm-warnungen mit äußerst schädlich-meldung lesen müssen.
dabei hatte ich gestern erst meinen c-laufwerk formatiert und winxp neu draufgepackt.

ich habe leider keine ahnung wie ich vorgehen muss und hoffe auf eure hilfe..

vielen dank

Logfile of HijackThis v1.99.1
Scan saved at 18:00:52, on 27.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe[/COLOR]
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Datel\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Datel\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\W32BRG55.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199[1].zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\Datel\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{5361CD4D-5E28-4013-80D3-E59BC961A255}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

Hallo und herzlich willkommen, wenngleich die Umstände sicher keine erfreulichen sind!

Lösch bitte zunächst nichts. Prüf stattdessen zunächst diese beiden Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\winIogon.exe
         

...bei Virustotal:
VIRUSTOTAL - Free Online Virus and Malware Scan

Poste hier dann die nach Scanende jeweils die kompletten Ergebnislisten!

hallo..
also ich habe grad auf der seite www.virustotal.com die beiden dateien die du oben genannt hast geprüft.. aber ich glaub da ist etwas nicht richtig gelaufen,
für beide dateien kommt nur die aussage: "0 bytes size received / Se ha recibido un archivo vacio".. habe ich irgendwas falsch gemacht?
danke... yugi

Hallo,
die beiden zu prüfenden Prozesse sind aktiv und daher wehren die sich...

Aber du hast ein viel grundsätzlicheres Problem,nämlich hier :

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Da muß Service Pack 2 drauf,es gibt kerinen Grund es nicht zu tun !!

Selbst wenn die zu prüfenden Dateien nicht so furchtbar wären,wie sie dem Anschein nach sind,macht eine anschließende Bereinigung keinen wirklichen Sinn.
Ohne SP2 hast du sehr bald wieder die gleichen oder größere Probleme.
Dir fehlen über 100 sicherheitsrelevante Update`s...
Mein Vorschlag würde dahin gehen,dir SP2 zu besorgen (Freunde ,Bekannte ,Microsoft selbst laden oder CD bestellen,PC Zeitschriften mit CD als Beilage)
und sodann dir den Thread zu Gemüte führen und auch danach handeln,der vom Neuaufsetzen des Systems schreibt.Beachtest du auch die weiterführenden Tipp`s und Link`s wird dir normalerweise so etwas nicht mehr passieren....
Irrlicht

hallo..
also.. ich habe mein laufwerk c formatiert,
neu xp draufgeladen und mit sp2 aktualisiert.
und das alles, da diese warnmeldungen laufwerk c als ursprung hatten lt.avira.

hier nun mein neuer logfile: die neue analyse nach w*w.hijackthis.de sieht nicht mehr so düster aus..

ist das problem nun beseitigt?
danke nochmal.. yugi

Logfile of HijackThis v1.99.1
Scan saved at 14:12:42, on 28.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\FREDDI~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180299538542
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1180301416197
O17 - HKLM\System\CCS\Services\Tcpip\..\{F90478E0-2804-4BDE-88D1-C1B15A5EDDD6}: NameServer = 195.50.140.250 195.50.140.114