Hallo,
mein Rechnerhat zeit neuestem vollgendes Problem,
Beim Hochfahren schaltet er Norton Antivirus ab, auch den Taskmanager kann man nicht mehr benutzen der geht auf und gleich wieder zu. Ich habe darauf hin die anleitung zum löschen von Browser-Hijacking - Entfernung durchgespielt da ich dachte ich hätte diesen wurm, hat aber leider auch nix gebracht. Auch das löschen und neu draufspielen von Norten ht keinen erfolg.
Überprüfen konnte ich den REchner mit den Programmen a², Ad-aware 6 diese Programme auf dn neusten stand gebracht die Programme Antivir XP kann ich nicht updaten. Ich habe dann von einen anderen Rechner mit Norten die Platte gescannt aber ohne befund.

Nun bin ich am verzweifen warum bei mir die ganze schutzmassnahmen nicht mehr funktioniere.

Mein Log file schicke ich auch gleich mit vieleicht findet von euch einer raus was mit der Kiste loss ist.

Logfile of HijackThis v1.97.7
Scan saved at 16:40:34, on 26.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\SerExt.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Babylon\Babylon.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\gkmjc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Anti-Trojan-Tool\HiJack This\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [D868DCB7] C:\WINDOWS\System32\vaidtvmmfityp.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [0utlook Express] gkmjc.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [0utlook Express] gkmjc.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [0utlook Express] gkmjc.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunServices: [0utlook Express] gkmjc.exe
O4 - Startup: PowerPanel.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Call Tray.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...942.5769675926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Danke für eure hilfe schonmal im vorraus.

Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von Donald0815:
mein Rechnerhat zeit neuestem vollgendes Problem,
Beim Hochfahren schaltet er Norton Antivirus ab, auch den Taskmanager kann man nicht mehr benutzen der geht auf und gleich wieder zu.</font>[/QUOTE]Das macht nicht dein Rechner, sondern das macht aktive Schadsoftware!


Bitte geh genau nach Anleitung vor! Grund: ich möchte herausfinden, welche Malware _genau_ diese Symptome bei _diesem_ HijackThis-Bild verursacht - davon gibt es derzeit, auch in anderen Foren, fast identische Probleme.

Suche bitte die folgenden Dateien, und prüf sie dann bei Kaspersky: http://www.kaspersky.com/de/scanforvirus

Berichte hier über alle Scanergebnisse.
Alle Dateien, die *nicht* als infifziert gemeldet werden, sende bitte an die in meiner Signatur stehenden Mailadressen!

C:\WINDOWS\System32\gkmjc.exe
C:\WINDOWS\System32\vaidtvmmfityp.exe

Such diese beiden Dateien mit Hilfe der Windows Suche (&gt;Start &gt;Suchen; stell ggf. vorher sicher, dass du in &gt;Systemsteuerung &gt;Ordneroptionen die Anzeige aller Dateien (versteckte, Systemdateien) aktiviert hast). Prüf sie ebenfalls:

wserv32.exe
gkmjc.exe

Diese vier Dateien also hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Hallo mmk,

Ich hatte schon vor deinem Schreiben Kaspersky Antivirus installiert und dieses Programm hat dann die Dateien:
GKMJC.EXE Backdoor.Rbot.gen
A0028338.exe Trojan.Proxy.Win32.Bobax.a
A0028348.exe Trojan.Proxy.Win32.Bobax.a
A0028370.exe Trojan.Proxy.Win32.Bobax.a
A0028403.exe Trojan.Proxy.Win32.Bobax.a
A0028420.exe Trojan.Proxy.Win32.Bobax.a
A0030619.exe Trojan.Proxy.Win32.Bobax.a
A0033354.exe Worm.Win32.Padobot.g
A0033355.exe Worm.Win32.Padobot.g
A0033356.exe Worm.Win32.Bobax.c
A0033357.exe Backdoor.Rbot.gen
A0033706.exe Backdoor.Rbot.gen
msnin.exe Backdoor.Rbot.gen
80.184.158[1].gif Trojan.Proxy.Win32.Bobax.a
80.184.18[1].gif Trojan.Proxy.Win32.Bobax.a
80.184.39[1].gif Trojan.Proxy.Win32.Bobax.a
80.184.27[1].gif Trojan.Proxy.Win32.Bobax.a
80.184.70[1].gif Trojan.Proxy.Win32.Bobax.a

gefunden.

Nach einem neustart lief dann wieder alles.

Ich musste nur noch die ganzen Antiverenprogramme löschen. Jetzt ist nur noch Kaspersky, Ad-aware und Kerio drauf und dass system ist richtig flott wieder unterwegs.

Trotzdem Danke für deine Ideen.

Du hattest u.a. einen Backdoor auf Deinem System. Sollte er aktiv gewesen sein, solltest Du Dein System formatieren und neu aufsetzen:
http://oschad.info/wiki/index.php/Kompromittierung

Außerdem war Bobax auf dem System. Das zeigt, dass Dein System nicht auf dem aktuellen Patchlevel ist/war ( http://www.windowsupdate.com ) und/oder Du Deine Netzwerkeinstellungen nicht sicher konfiguriert hast ( http://ntsvcfg.de/ ).

Wenn Kerio vor dem Befall auch schon installiert war, zeigt es außerdem, dass Dich Kerio nicht wirksam schützen konnte.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie