Logfile of HijackThis v1.98.2
Scan saved at 16:58:09, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\system32\Windows-Update.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\DOKUME~1\Sebbl\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {17CB20A8-9C65-46E4-A355-7200ABB0C1E6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2575a1141fef804...dxIE601_de.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8A00165-596F-4686-803A-9F05847262B8}: NameServer = 217.237.151.161 217.237.151.33

Bin für jede Hilfe dankbar

MFG Schebbi

@Schebbi
dieser hier ist im system
http://www.sophos.de/virusinfo/analyses/w32aozob.html
C:\WINDOWS\system32\Windows-Update.exe

über NAVexcel findest du hier etwas
http://www.pestpatrol.com/PestInfo/n/navexcel.asp
hier hast du ein großes problem
http://www.sophos.com/virusinfo/anal...2forbotbk.html
O4 - HKLM\..\Run: [Win32 USB Driver] mvsecn.exe

der letzte ist der gefährlichste. der hat backdoor eigenschaften.
das heißt daß dein system sehr wahrscheinlich schon kompromittiert ist.
http://www.mathematik.uni-marburg.de...ompromise.html
in diesem fall kann ich dir nur raten, dein system neu aufzusetzen, und anschließend deine passwörterzu ändern.
dein system ist einfach nicht mehr vertrauenswürdig, unter umstände bist du schon ausspioniert worden.
chaosman

Verdammte Axt
hab meine Festplatte schon zig mal formatiert aber die drechs Würmer sind schon beim Neustart wieder drauf. Kann mir da irgendjemand helfen.

Was heißt eigentlich ausspioniert? Hab Passwörter oder so nirgends gespeichert und ansonsten hab ich auch nichts wichtiges drauf.

MFG Schebbi

@Schebbi
neues systemaufsetzen
Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

mit dank an Cidre
in deinem fall würde ich mir eine saubere XP CD besorgen, und das machen was hieroben steht
chaosman

Hi schebbi,
Zitat: hab meine Festplatte schon zig mal formatiert aber die drechs Würmer sind schon beim Neustart wieder drauf. Kann mir da irgendjemand helfen.

Das Zeug, das Du drauf hast, hat gerne mal die Eigenschaften, auch in Datenbanken versteckt zu sein. Das heißt für dich, du formatierst ganz brav, alles ist o.k. und dann legst Du Deine alten Datenbanken, die Du vorher gecheckt hast wieder aufs System - und wupps - sind wieder alle oder einige Deiner Lieblinge wieder da.
Nicht jeder Scanner (vor allem, wenn er nicht auf neuestem Stand ist) findet die Teile in den Datenbanken wieder.
Sinnvoll wäre es, die Datenbanken online (Kaspersky) zu scannen. Auf verseuchte würde ich ganz verzichten und von vorne anfangen!
cacatoa

Hey Leutz
wie funktioniert das ein System neu aufsetzen?
Wenn ich meine XP disc reinhau und alles installiere und dann meinen rechner wieder neu hochfahre sind die Viren schon wieder am Start. Ich bin kurz davor meinen Laptop ausm Fenster zu werfen
Ausserdem erzählt er mir nach dem Neustart das ich kein Netzwerkkabel angeschlossen habe. Ich hab die Netzwerkkarte überprüft und da scheint alles in Ordnung zu sein.

Hoff ihr könnt mir helfen

MFG Schebbi

Hallo Schebbi,
führe bitte unbedingt eScan im
abgesicherten Modus aus und poste welche Viren gefunden wurden, da der Verdacht besteht, dass sich auf deinem PC ein Wurm mit Backdoor-Funktionalität eingenistet hat (verbessert mich bitte wenn ich mich irren sollte, will ja nichts falsches erzählen). Das hätte zur Folge dass dein System kompromittiert ist, siehe auch http://oschad.de/wiki/index.php/Kompromittierung

so far