Hallo an Alle,
habe seit ein paar Tagen folgendes Problem:

Gehe ich ins Netz, dauert es nicht lange und es werden sehr, sehr viele eMails automatisch verschickt. Diese werden von web.de, wo ich meine Adressen habe, nicht weitergeleitet und ich bekomme dann eine Fehlermeldung.

Außerdem meldet mir Norton AntiVirus 2004 eine dipset.exe (Virenname Backdoor.Ranky), der unter C:\dipset.exe liegt- siehe Bild.

Norton kann das Ding nicht löschen, ich habs auch versucht- geht aber nicht.

Was ist das denn eigentlich und wie bekomme ich das wieder los?

Habe auf meinem PC nur Norton AntiVirus 2004 installiert.

Wie ich nun merke ist das zu wenig oder Norton AntiVirus 2004 nicht gut genug.

Was soll ich noch installieren und was würdet Ihr empfehlen?

Vielen Dank für Eure Antworten und einen schönen Abend - der Mensch

Lade dir HijackThis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

Hallo,
das ging ja schnell.

Also, hier der Logfile und schon im voraus- DANKE ! ! !

Logfile of HijackThis v1.98.2
Scan saved at 23:58:23, on 22.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\dipset.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
D:\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\WEB.de SmartInstall_230\SmartSurfer.exe
C:\WINDOWS\slrundll.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\fraro\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Printer] C:\dipset.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office_2000\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6520E090-A247-4096-A54D-492C635E98E9}: NameServer = 195.129.111.49 195.129.111.50
O17 - HKLM\System\CS1\Services\Tcpip\..\{6520E090-A247-4096-A54D-492C635E98E9}: NameServer = 195.129.111.49 195.129.111.50

Du schimpfst auf NAV, aber kein Programm kann dich vollkommen schützen, vorlallem wenn du dein Betriebssystem nicht aktualisierst, hole das nach www.windowsupdate.com (ALLE verfügbaren wichtigen updates herunterladen)

Danach:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

@ Mensch,

überprüfe zusätzlich - zu den Hinweisen von Lidius auf das Updaten Deines BS und IE und den eScan - mit dem online-scan von Kaspersky:

C:\dipset.exe
C:\WINDOWS\slrundll.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de und detections@spybot.info, mit Verweis auf diesen Thread. (Forschungszweck).

SD

Hallo an alle,
habe nun das ganze Wochenende einschließlich heute Montag versucht den Virus Backdoor.Ranky mit der dipset.exe zu löschen.

Es ist schön wieder ein sauberes System zu haben.

Für alle die es interessiert, so hat es geklappt.

Habe online unter http://www.hijackthis.de/index.php die Log Datei auswerten lassen. Abgesehen davon das noch mehr, was auch immer gefunden wurde, wurde auch der Backdoor.Ranky erkannt. Aber wie schon geschrieben, ließ der sich ja nicht löschen.

Jedoch stand in der Auswertung der Pfad in der Registrie.

Dann habe ich unter Start – Hilfe und Supportcenter - Tools zum Anzeigen von Computerinformationen und Ermitteln von Fehlerursachen verwenden – Systemkonfigurationsprogramm - Systemkonfigurationsprogramm öffnen – Systemstart mir zeigen lassen, was alles beim Systemstart mit geladen wird. Dort wird noch einmal der Pfad in der Registrie angezeigt.

Da bin ich dann hin und habe den Eintrag gelöscht.

Danach habe ich den PC neu gestartet und der Virus verschwand beim anklicken als ich ihn löschen wollte.

FREUDE

Norton AntiVirus hat beim erneuten Scan des PC’s auch nichts mehr gefunden.

Mit eScan habe ich dann auch nocheinmal den PC gescannt. Auch hier wurde nichts gefunden.

Das einzige was mitgeteilt wird ist folgendes:
Mon Oct 25 14:01:38 2004 => ***** Scanning complete. *****
Mon Oct 25 14:01:38 2004 => Total Number of Files Scanned: 38243
Mon Oct 25 14:01:38 2004 => Total Number of Virus(es) Found: 0
Mon Oct 25 14:01:38 2004 => Total Number of Disinfected Files: 0
Mon Oct 25 14:01:38 2004 => Total Number of Files Renamed: 0
Mon Oct 25 14:01:38 2004 => Total Number of Deleted Files: 0
Mon Oct 25 14:01:38 2004 => Total Number of Errors: 5
Mon Oct 25 14:01:38 2004 => Time Elapsed: 00:50:24
Mon Oct 25 14:01:38 2004 => Virus Database Date: 2004/09/08
Mon Oct 25 14:01:38 2004 => Virus Database Count: 103474

Mon Oct 25 14:01:38 2004 => Scan Completed.

Nun habe ich noch eine Frage.

Was bedeutet- Total Number of Errors: 5 ?

Vielen Dank an alle

Hallo mensch,

wie ich sehe, hast Du Dich intensiv mit Deinem Rechner befasst. Das ist ja toll, dann kennst Du ihn jetzt sicherlich ziemlich gut? Ich finde es auch toll, dass Du es geschafft hast, den Backdoor.Ranky von Deinem System zu entfernen. Das Problem an der ganzen Sache ist nur, dass ich annehme, dass Du nicht weißt, was für einen Trojaner Du auf Deinem System hattest. Ich möchte Dir die Freude nicht verderben, aber ich möchte Dich wenigstens informieren. Es könnte ja sein, dass Du wichtige und vertrauliche Daten auf dem System hast oder gar online-banking betreibst .. das könnte dann bös ins Auge gehen:

Backdoor.Ranky--> "Erläuterung" bitte beachten. Mit der --> "Wiederherstellung" schaffst Du es vielleicht, Dein System von diesem Backdoor. Ranky zu befreien. Ob Dein System als sicher betrachtet werden kann, wage ich zu bezweifeln. Ansich empfehlen wir bei Trojaner mit Backdoor-Eigenschaften das System zu formatieren: 10 Punkte-Lösung

Solltest Du Dein System nicht formatieren wollen, empfehle ich Dir dringend, Dir TrojanCheck runterzuladen. Es ist ein Programm, das die Autostart-Einträge und die Registry-Einträge überwacht und auf diese Weise Alarm anzeigt, wenn sich ein neues Programm mit Deinem Rechner verbinden will bzw. neue Registry-Einträge zu verzeichnen sind. Du solltest dazu natürlich den Hintergrundwächter stets aktiviert haben.

Ich wünsche Dir viel Erfolg. Solltest Du Dich für's formatieren entscheiden, habe ich hier noch einen guten und brauchbaren Link: www.formatieren.de

SD

Hallo Shadowdance,
vielen Dank für Deine Tipps und Hinweise.
Ja Du hast recht, ich wusste nicht was für ein Trojaner das Ding war. Du hast auch recht, ich habe online Banking betrieben, zum Glück ist aber nichts passiert, jedenfalls bis gestern Abend nicht. Werde aber trotzdem meine Zugangsdaten ändern. Da ich mein System erst vor kurzem formatiert hatte, möchte ich es nicht gleich wieder tun. Hätte ich aber gleich gewusst was das für ein „Tierchen“ ist, hätte ich es übers Wochenende doch getan und wäre heute fertig.

Den TrojanCheck habe ich mir installiert und lasse ihn auch im Hintergrund laufen.
Im Autostart steht glücklicherweise auch heute nur noch das drin was reingehört.

Habe gestern und heute auch noch mal so weit alle relevanten Seiten auf die hier im Board so hingewiesen wird gelesen. Bin dabei auch auf die unter C:\WINDOWS\system32 liegende sigverif.exe gestoßen. Das Programm habe ich gleich ausgeführt. Es wurde eine slserv.exe angezeigt, ebenfalls unter C:\WINDOWS\system32 die ich aber nicht unter dem angegebenen Pfad gefunden habe. Kennst Du die exe ?

Außerdem möchte ich gerne noch mal auf meine vorherige Frage zurückkommen.
Was bedeutet- Total Number of Errors: 5 ?
Weißt Du das zufällig ?

Mein PC ist partitioniert, C= BS mit 10 GB, dann kommen noch D, E und F.
Irgendwo im Netz habe ich mal gelesen, es wäre möglich auch neu zu formatieren, wenn man nur da wo das BS liegt, also auf C neu formatieren würde. Kennst Du da eine Site im Netz wo ich mehr nachlesen kann?
Geht das überhaupt ?

Ich wünsche eine schöne Woche und vielen Dank – der mensch -

@mensch

hast du den NAV schon mal in den abgesicherten modus laufen lassen?
Symantec müßte diesen RANKY eigentlich kennen
chaosman

Hallo Mensch,

der Prozess "C:\WINDOWS\system32\slserv.exe" ist in Ordnung, wenn Du SiS Treiber installiert hast. Wenn das nicht der Fall ist, hast Du den Virus W32/Gaobot.CR auf dem System. Das kannst Du aber prüfen: Online-Scan von Kaspersky.

Die 5 Error-Meldungen sind meines Wissens nicht wichtig. Warum sie vorkommen, weiss ich nicht. Vielleicht kann jemand anderes diese Frage beantworten.

Aber jetzt habe ich nochmal eine Frage an Dich: womit hast Du den Backdoor.Ranky auf Deinem System festgestellt?

Zitat:

Habe online unter http://www.hijackthis.de/index.php die Log Datei auswerten lassen. Abgesehen davon das noch mehr, was auch immer gefunden wurde, wurde auch der Backdoor.Ranky erkannt. Aber wie schon geschrieben, ließ der sich ja nicht löschen.

Durch welches Programm wurde dieser Backdoor erkannt?

SD

Hallo Shadowdance,

... wenn Du SiS Treiber installiert hast.

Wie kann ich erkennen ob ich die Treiber installiert habe ?

....womit hast Du den Backdoor.Ranky auf Deinem System festgestellt?
....welches Programm wurde dieser Backdoor erkannt?

Als ich mit dem Explorer auf C:\ war, hat der Norton AntiVirus 2004 den Backdoor.Ranky gemeldet. Den Rest kennst Du, mit HijackThis gescannt usw. und dann die Log online unter http://www.hijackthis.de/index.php auswerten lassen. Dort wurde eben auch der Pfad in der Registrie angezeigt. Dort bin ich hin und habe den Eintrag gelöscht. Danach verschwand auch die dipset.exe unter C:\ und der Eintrag der unter Autostart zu finden war.

Weist Du was darüber ob es möglich ist nur C zu formatieren ?

Gibt es eine Datei oder was auch immer, wo man lerenen kann die Registrie zu lesen und natürlich auch zu verstehen ?

Vielen Dank für Deine Antworten und einen schönen Tag - der mensch -

Hallo Mensch,

Zitat:

... wenn Du SiS Treiber installiert hast.
Wie kann ich erkennen ob ich die Treiber installiert habe ?

scanne die Datei einfach online: Kaspersky

Zitat:

Weist Du was darüber ob es möglich ist nur C zu formatieren ?

ja, das ist möglich, schau mal unter der angegebenen URL in meinem letzten Posting nach ... kannst Dich auch auf den von MountainKing und Cidre angegebenen Seiten umschauen .. Links zu viel wertvoller Info:

Lutz: Datensicherung

Cidre: ein umfassender Rat

MountainKing: Sicherheit gross geschrieben

Festplatte Formatieren - Schritt für Schritt

Neuinstallation von windowsXP

- Vorbeugende Maßnahmen: www.trojaner-info.de

Zitat:

Gibt es eine Datei oder was auch immer, wo man lerenen kann die Registrie zu lesen und natürlich auch zu verstehen ?

Computer Greenhorn Cologne ... versuch's mal da.

SD