HI!
Habe mir gestern von einem Freund meinen Computer(mit XP SP2)neu aufsetzen lassen.
Doch so ganz bin ich mir nicht sicher ob ich jetzt alle Probleme beseitigt habe.
Hier habe ich ein paar Beispiele:

1)Komische Prozesse:
*ssqoo(rundll32.exe)
*DDC(pgfoejtc.exe)
*COM Surrogate(dllhost.exe)
*MS DTC console program(msdtc.exe)
*2 mal Winlogon.exe:
winlogon.exe
winIogon.exe
*SvChOsT.ExE(System32)

2)Avira Antivir findet Viren:
*TR/Vundo.Gen
*TR/Vundo.DRT
*DR/Virtumonde.BL
*DR/Virtumonde.BL

Hoffe das mir jemand hilft.

LG rusader

Warst du in letzter zeit beim Filesharing unterwegs?
Und Poste mal bitte ein HijackthisLog. Danke

HI Mario,

Danke fuer die Ruekmeldung.

Hier meine Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:06, on 15.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pgfoejtc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\NETGEAR\WG111v2\WG111v2.exe
C:\WINDOWS\system32\wscntfy.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\abc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.utanet.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.winantivirus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von LIWES* Kabelmedien GmbH
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1515B906-999A-48F3-8BF4-B7EC61BF5B38} - C:\WINDOWS\system32\hgghhih.dll
O2 - BHO: (no name) - {23C73074-97CB-4D5F-8CCE-F60AFF6E1DE6} - C:\WINDOWS\system32\ssqoo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: {cac7dcd9-d3e8-8c38-9e24-d3e4482fdc38} - {83cdf284-4e3d-42e9-83c8-8e3d9dcd7cac} - C:\WINDOWS\system32\wrrpklcq.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [08331c45] rundll32.exe "C:\WINDOWS\system32\kdkmklkk.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [MalwareAlarm] C:\Program Files\MalwareAlarm\MalwareAlarm.exe
O4 - HKCU\..\Run: [Registry Helper] "C:\Programme\Registry Helper\RegistryHelper.Exe" /boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - h**p://www.cyberlink.com/winxp/CheckDVD.cab
O20 - Winlogon Notify: hgghhih - C:\WINDOWS\SYSTEM32\hgghhih.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\pgfoejtc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NT Net Driver (NtNav) (NtNav) - Unknown owner - C:\WINDOWS\system32\netnav.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

--
End of file - 8862 bytes

LG Crusader

Dein Freund hat vorher nicht formatiert. Oder ihr habt ausführbare Dateien zurückgespielt, in denen ein Schädling verborgen war. Oder du bist mit einem frisch aufgespielten XP, ohne das SP 2, online gegangen. Jedenfalls sind jede Menge schädliche Einträge zu finden:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\pgfoejtc.exe
O2 - BHO: (no name) - {1515B906-999A-48F3-8BF4-B7EC61BF5B38} - C:\WINDOWS\system32\hgghhih.dll
O2 - BHO: (no name) - {23C73074-97CB-4D5F-8CCE-F60AFF6E1DE6} - C:\WINDOWS\system32\ssqoo.dll
O2 - BHO: {cac7dcd9-d3e8-8c38-9e24-d3e4482fdc38} - {83cdf284-4e3d-42e9-83c8-8e3d9dcd7cac} - C:\WINDOWS\system32\wrrpklcq.dll
O4 - HKLM\..\Run: [08331c45] rundll32.exe "C:\WINDOWS\system32\kdkmklkk.dll",b
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O20 - Winlogon Notify: hgghhih - C:\WINDOWS\SYSTEM32\hgghhih.dll
O23 - Service: DomainService - - C:\WINDOWS\system32\pgfoejtc.exe
O23 - Service: NT Net Driver (NtNav) (NtNav) - Unknown owner - C:\WINDOWS\system32\netnav.exe (file missing)
         

Wegen des letzten Eintrags, der netnav.exe, hattest du vor einigen Tagen ja schon gepostet. Die xpupdate.exe dürfte übrigens eine Backdoor sein.

Du musst noch einmal neu aufsetzen! Dein Freund soll sich bitte an die Anleitung halten, die er hier in den FAQ findet. Unbedingt müsst ihr euch das SP2 besorgen und einspielen, bevor mit dem neu aufgesetzten Rechner wieder ins Internet gegangen wird! Denn sonst wird er binnen Minuten wieder von Netzwerkwürmern befallen werden, wie es hier der Fall zu sein scheint. Und am Anfang muss wenigstens die Systempartition c: formatiert werden, damit die jetzt vorhandenen Schädlinge nicht überleben. Und überlegt euch gut, welche Daten ihr vorher sichert. Ausführbare Dateien (exe, com, dll, scr, pif und einige andere) sollten nicht zurückgespielt werden!
Tut mir leid, aber anders geht's nicht.