Hallo,

hab hier ein HijackThis Log von einem wahrscheinlich verseuchtem XP_Home Rechner. Bitte schauts Euch mal an und vielleicht kann ja jemand Tips geben, was ich tun kann. Danke schonmal. Unten ist auch der Link zur automatischen Auswertung des Logs.

Logfile of HijackThis v1.98.0
Scan saved at 12:27:49, on 11.7.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\smsc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\Mixer.exe
C:\Programme\avmclient\bluefritz!.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\rdplsijx.exe
C:\Dokumente und Einstellungen\...\Eigene Dateien\HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0utlook Express] skiht.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] smsc.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\rdplsijx.exe
O4 - HKLM\..\RunServices: [0utlook Express] skiht.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] smsc.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] smsc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [0utlook Express] skiht.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] smsc.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\RunServices: [0utlook Express] skiht.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] smsc.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Player! - {C377C94E-5A4F-11d3-940D-00001CD3D236} - C:\Programme\datango\Player\datangoPlayer.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A14FE70-2797-45EC-B456-44EA5CCE82C8}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A14FE70-2797-45EC-B456-44EA5CCE82C8}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A14FE70-2797-45EC-B456-44EA5CCE82C8}: NameServer = 192.168.120.252,192.168.120.253



Hier findet Ihr die automatische Auswertung:
http://www.hijackthis.de/logfiles/16...31da8e40e.html

http://www.trojaner-board.de/showthread.php?t=6083
Scanne mal hiermit im abgesicherten Modus!

Danach bitte nochmal ein Log posten.
Achja, du solltest dringenst mal www.windowsupate.com besuchen und dir
die fehlenen Sicherheitsupates installieren.

Ich habe da so einen bösen Verdacht, weil ich schon vieles über Gaobot.CR gelesen habe.

Der Prozess C:\WINDOWS\system32\slserv.exe macht mich stutzig.

Aussder sind da noch folgende Sachen die ich Dir rate zu fixen, einmal weil es der Hijacker Auswerter sagt und einmal weil es mir mein Gefühl sagt :

Fangen wir mal an :

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe (Vieles was mit Serve zu tun hat und als Applikation gestartet werden kann, ist meist ein Pfui., also fixen)

O4 - HKLM\..\Run: [Win32 USB2 Driver] smsc.exe (in allen variationen die Du dort stehen hast, raus damit i.O. sind lsass.exe, csree.exe, smss.exe, aber nicht smsc.exe)

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe (Oh mein Freund ist wieder da, ich glaube hier kann ich mir den Kommentar zu sparen, alles raus was mit "wuamgrd.exe" zu tun hat - NEIN, es ist kein Wormschutzprogramm, sondern eher das Gegenteil )

O4 - HKLM\..\Run: [0utlook Express] skiht.exe (rate mal was ich nun bemängle *fg*, Outlook schreibt sich mit O nicht mit einer Null, also weg damit, auch sämtliche andere einträge die diesen Outlook Fake haben, böse böse)

O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe (Ist mir selber nicht geläufig, mag ich aber nicht, vor allem weil wieder diese svr (Server) Endung am Ende dran hängt, wir sagen ...weg damit)

Wie mein Vorrednet Christian sagte :

Dringenst Scannen lassen, in meinen Augen wäre sogar ein komplettes Formatieren und Neu aufspielen, alle Male besser und sicherer.

Grüße und einen Schönen Tag

Andy

Erstmal scannen, danach schauen wir uns das neue Log an .....

Ok, werd damit mal scannen. Könnte aber sein, daß es erst am WE wird. Bis dahin.

Nimm das System vom Netz und geh damit nicht mehr online. Mindestens Backdoor.Rbot und Backdoor.Agobot (Gaobot) sind aktiv. Ich sehe hier nur die Möglichkeit: neu aufsetzen.

Vor der ersten Internetverbindung das hier durchführen: http://dingens.org


PS: Übrigens nicht weiter verwundernswert, dieser Zustand: das System ist nicht gepatcht:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Nur einen PC scannen - nicht das ganze Netzwerk