Hallo,
meine Tochter hat bei einem ziemlich lahmgelegten System Windows 2000 Professional mit Antivir Folgendes gefunden:
a.)
C:\WINNT\SYSTEM32\WINHLPP32.EXE
Enthält Code des Wurmes Worm/Agobot.136218
Meldung taucht immer wieder auf mit verschiedenen Nummern
b.)
das Archiv mit infizierten Dateien
C:\WINNT\SYSTEM32\nscqdw.exe
Worm/sdbot 44128
Meldung taucht immer wieder auf mit verschiedenen Nummern
c.)
das Archiv mit infizierten Dateien
C:\WINNT\SYSTEM32\mstoolbar.exe
Tr-proxy.ranky.ap

Alle drei können nicht gelöscht werden da in Archiven.
Die fehlenden Microsoft Updates will sie nach Bereinigung aufspielen.

Könnt Ihr bitte Tipps geben wie man die Tierchen endgültig loswird ?

Sende die Dateien mal an partytime-germany.ice@web.de
Die Dateien werden noch nicht von allen AV's erkannt. Das muss sich ändern.

Poste anschl. mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Schaut wüst aus:

Logfile of HijackThis v1.98.2
Scan saved at 18:17:49, on 31.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\msvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINNT\SYSTEM32\FGASFp.exe
C:\WINNT\SYSTEM32\gaghhp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\SYSTEM32\bbsdf.exe
C:\WINNT\System32\ffbaqe.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\ffbaqe.exe
C:\WINNT\Explorer.exe
D:\HIJACK\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VQVQEVXfxcX] C:\WINNT\SYSTEM32\hgdhp.exe
O4 - HKLM\..\Run: [bbdjmrxcX] C:\WINNT\SYSTEM32\htehtd.exe
O4 - HKLM\..\Run: [NetWork] csrs.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe SetReg
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [ffeqOME] C:\WINNT\SYSTEM32\vcvsav.exe
O4 - HKLM\..\Run: [GDAX] C:\WINNT\SYSTEM32\FGASFp.exe
O4 - HKLM\..\Run: [Halloween Stream] C:\WINNT\SYSTEM32\gaghhp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSN Messenger BETA 7] C:\WINNT\SYSTEM32\bbsdf.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\Run: [Systemey] systemey.exe
O4 - HKLM\..\Run: [msvc32] msvc32.exe
O4 - HKLM\..\RunServices: [NetWork] csrs.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\RunServices: [Systemey] systemey.exe
O4 - HKLM\..\RunServices: [msvc32] msvc32.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab


Haben ausserdem Norton drüberlaufen lassen, sieht so aus als ob Antivir auch schon beschädigt ist:
35916 Dateien geprüft 22 infizierte Datei(en) auf Ihren
Laufwerken
Es wurden keine Viren im Arbeitsspeicher gefunden
C:\WINNT\systemi32\FGASFp.exe ist infiziert mit Backdoor.Ranky.K
C:\WINNT\svstem32\g3ghhp.exe ist infiziert mit Backdoor.Ranky
C:\WINNT\system32\msgfix.exe ist infiziert mit W32.Valla.2048
C:\WINNT\system32\mstoolbar.exe ist infiziert mit Trojan dropper
C:\WINNT\system32\mymsn.exe ist infiziert mit Trojan dropper
C:\WINNT\system32\nscqdw.exe ist infiziert mit Trojan dropper
C:\WINNT\system32\stuvn.exe ist infiziert mit Trojan dropper
C:\Programme\AVPersonal\INFECTED\INTEGATOP.EXE.001 ist infiziert
mit W32.Pandex
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.001 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.002 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.003 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.004 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.005 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.006 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.007 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.003 ist infiziert mit
W32.Pandex
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.009 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.010 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.001 ist infiziert
mit W32.HLLW.Gaobot.gen
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.002 ist infiziert
mit W32.HLLW.Gaobot.gen
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.003 ist infiziert
mit W32.HLLW.Gaobot.gen
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.005 ist infiziert
mit W32.Valla.2048
Habe aber bei Symantek nichts Näheres gefunden.

Mail an partytime ist unterwegs.
Grüsse Karl

Hallo, Karlii,
Euer System ist ja gewaltig verseucht. Unter anderem der
und der und so weiter.
In diesem Fall meine ich, solltest Du Dein System neu aufsetzen.
Ich glaube nicht, daß all Deine Probleme mit fixen von Prozessen erledigt sind.
Aber vielleicht hat einer der Kollegen dazu eine andere Ansicht.
cacatoa

Es ist leider noch keine Mail angekommen.

zur Zeit hängt das System bei meiner Tochter an allen Ecken und Enden so dass sie nicht mailen kann
Gruß Karl

Meine Tochter hat gestern noch Mail mit 2 Dateien (leider vermutlich ohne Betr.) abgesandt, die Dritte dürfte gelöscht worden sein. Es sieht aus als ob das System in den letzten Zügen liegt. Wenn keine signifikante Besserung
eintritt (sie will noch Ihre Antwort abwarten und ev. Testversion Kapersky darüberfahren) wird wohl neu aufsetzen nötig sein.
Herzlichen Dank Karl

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Herzlichen Dank, Christian und Cacatoa !
Muss wohl sein. Gruesse Karl

Zitat:

Zitat von *Christian*

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Hmm tehma zu antivir ist das das 75000 leute es von internet saugen und null probleme haben aber ich glaub du aber das norten 2004 ist jah wohl ein ober scheiss pogramm was mann vergessen kann antivir findet ja fast alles oder alles ...