Hallo,
ich habe in den letzten Tagen häufiger eine Virusmeldung erhalten
Anti Vir hat den Wurm Rbot/Fl gefunden und auch schon mehrfach gelöscht.
Zudem ist mein Rechner langsamer geworden.
Ich kenne mich mit dem HiJack nicht wirklich aus uns poste einfach mal den Bericht.
Ich würde meinen Rechner nur äußerst ungerne formatieren.

Logfile of HijackThis v1.98.2
Scan saved at 19:42:56, on 31.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AIM\aim.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\xx\HijackThis.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab


Wäre super wenn sich jemand mal den Bericht angucken könnte.
(Vielleicht weiß auch wer , wie ich den real player loswerde )


mfg und danke

Hallo, piffpaff,
der hier:
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
ist als böse erkannt.
Bitte im abgesicherten Modus fixen.
Dann aber auf jeden Fall ebenfalls im
abgesicherten Modus einen eScan durchführen und dann wieder posten.
cacatoa

Das Log ist IMO nicht vollständig, wie brauchen den gesamten Inhalt. Wenn du nicht formatieren willst, musst du dir darüber klar sein, dass ein Restrisiko besteht, dass dein System weiterhin infiziert und manipuliert ist.

heyho,

das log ist nicht vollständig ?
Habe eignetlich alles kopiert und eingefügt

Und wie soll ich das genau im abgesicherten Modus fixen ?

Ich habe momentan einfach keine Zeit um den Rechner zu formatieren.



mfg und danke

Hi, piffpaff,
also, Du brauchst nur in meinem Post "abgesicherter Modus" anclicken, dann weißt Du wie es geht. Wenn Du mit HJT gescannt hast, kannst Du vor die von mir beschriebene DAtei ein Häkchen machen und dann "Fix checked" anclicken. Dann iss es wech.
Dann bitte nochmal ein Logfile erstellen und reinposten. MountainKing meinte, es sei nicht vollständig, weil so kurz.
Bis dann
cacatoa

Hallo,
ich habe jetzt mal einen eScan durchgeführt.
Ich habe folgende Meldung erhalten:

Tue Nov 02 21:47:50 2004 => ***** Scanning complete. *****
Tue Nov 02 21:47:50 2004 => Total Files Scanned: 51993
Tue Nov 02 21:47:50 2004 => Total Virus(es) Found: 12
Tue Nov 02 21:47:50 2004 => Total Disinfected Files: 0
Tue Nov 02 21:47:50 2004 => Total Files Renamed: 0
Tue Nov 02 21:47:50 2004 => Total Deleted Files: 0
Tue Nov 02 21:47:50 2004 => Total Errors: 100
Tue Nov 02 21:47:50 2004 => Time Elapsed: 00:54:17
Tue Nov 02 21:47:50 2004 => Virus Database Date: 2004/11/02
Tue Nov 02 21:47:50 2004 => Virus Database Count: 108119


File C:\Programme\AVPersonal\INFECTED\A0036610.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP1276.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP1332.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP1512.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP1532.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP1552.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP172.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP196.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP368.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\Eigene Dateien\Meine empfangenen Dateien\serialz.rar tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File D:\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.

Ich werde jetzt das erste Problem mit Hjack im abgesicherten Modus beheben und dann den Scan ausführen und nochmal posten.
Aber was ist mit den oben genannten Viren ?
Ich hoffe die verschwinden dann auch .
Bis morgen und danke

mfg

Hallo, piffpaff,
Leere den Quarantäne-Ordner von Deinem Antivir, dann sollten sie weg sein!
Gute Nacht
cacatoa

hallo,

kaum habe ich den einen Fehler behoben,kommt auch schon der nächste Fehler.
Immer wenn ich den PC hochfahre kommt eine Meldung über die Sicherheitseinstellung und dass man yes klicken muss.
(sehr eigenartig)
Zudem ist meine Internetverbindung sehr langsam geworden und im Task Manager finden sich komische / unbekannte Prozesse.

Hier meine hijack log
Logfile of HijackThis v1.98.2
Scan saved at 18:32:12, on 04.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\blcproc.exe
C:\WINDOWS\System32\frmwrks32.exe
C:\Programme\AIM\aim.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\adh3sg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\LOKALE~1\Temp\Rar$EX02.857\HijackThis.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [blc proc drv] blcproc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Frame Works] frmwrks32.exe
O4 - HKLM\..\RunServices: [blc proc drv] blcproc.exe
O4 - HKLM\..\RunServices: [Windows Frame Works] frmwrks32.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [blc proc drv] blcproc.exe
O4 - HKCU\..\Run: [Windows Frame Works] frmwrks32.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

Oder ist das kein Virus ?
Und danke für eure Hilfe.

mfg
piffpaff

Tja, so gehts einem eben wenn man bei einem kompromittierten System nicht formatiert!!!

Überprüfe mal bei Jotti:
C:\WINDOWS\System32\blcproc.exe
C:\WINDOWS\System32\frmwrks32.exe
C:\adh3sg.exe

Wenn du die Dateien nicht findest:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


PS: Dein System ist in keinster Weise gepatcht!

@piffpaff

system und IE sind nicht auf den neuesten stand
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
bitte als erstes updaten
gebe danach HJT einen eigenen Ordner

lasse diese 2 dateien
C:\WINDOWS\System32\blcproc.exe
C:\WINDOWS\System32\frmwrks32.exe
hier überprüfen
und poste das ergebnis

@Haui45
warst wieder mal schneller
chaosman

nabend,

ich bin wohl ein dauergast für Viren.
Anti Vir hat jetzt folgende Programme gefunden:

Trojanische Pferd TR/Drop.180Soluti.A
Trojanische Pferd TR/Dldr.IstBar.A

wie werde ich die beiden Viecher los ?

Löschen bringt nichts.
Zudem habe ich wieder komische Programme im hintergrund laufen.
Und bei jeden zweiten Neustart habe ich einen browserfenster fest in der taskleiste...hjacklog kommt nach.....

gruß und danke


piffpaff

Guckst du mal bei Haui´s post:

Zitat:

Tja, so gehts einem eben wenn man bei einem kompromittierten System nicht formatiert!!!

kompromittierten ?????

Ich habe leider keine Zeit für eine formatierung .

Na dann mach doch mal so weiter; wir finden Dich bald hier (oder auf einem anderen Board) wieder...