Logfile of HijackThis v1.98.2
Scan saved at 14:34:30, on 05.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system\lsvchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Programme\CashBack\bin\cashback.exe
C:\Programme\Opera\opera.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Opera\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Programme\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Start Upping] xdcc.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Start Upping] xdcc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29d646b3...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe


was fang ich nun damit an?

@ Doki01,

downloade das Programm eScan, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren (Namen) wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

ok dann versuch ichs mal....also


Fri Nov 05 20:23:40 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Fri Nov 05 20:24:05 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Fri Nov 05 20:24:24 2004 => File C:\WINDOWS\system32\AA.EXE infected by "TrojanDownloader.Win32.Small.wa" Virus. Action Taken: No Action Taken.

Fri Nov 05 20:25:04 2004 => File C:\WINDOWS\system32\lassa32b.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:48:43 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:49:03 2004 => File C:\WINDOWS\system32\AA.EXE infected by "TrojanDownloader.Win32.Small.wa" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:49:50 2004 => File C:\WINDOWS\system32\lassa32b.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:50:59 2004 => File C:\WINDOWS\system32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:51:17 2004 => File C:\WINDOWS\system32\wmvcore2.exe infected by "TrojanDownloader.Win32.Small.us" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:51:22 2004 => File C:\WINDOWS\system32\xdcc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:51:40 2004 => File C:\counter.cab infected by "TrojanDropper.Win32.Small.ls" Virus. Action Taken: No Action Taken.

Sat Nov 06 12:58:37 2004 => File C:\Dokumente und Einstellungen\Doki\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EXIQP8QQ\gamma[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:02:06 2004 => File C:\Programme\AVPersonal\INFECTED\TFTP2180.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:24:31 2004 => File C:\WINDOWS\Config\gamma.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:35:56 2004 => File C:\WINDOWS\system\lsvchost.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:35:57 2004 => File C:\WINDOWS\system32\AA.EXE infected by "TrojanDownloader.Win32.Small.wa" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:38:36 2004 => File C:\WINDOWS\system32\lassa32b.exe infected by "TrojanProxy.Win32.Agent.bv" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:40:12 2004 => File C:\WINDOWS\system32\tmp1.com infected by "Worm.Win32.Wilab.b" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:40:40 2004 => File C:\WINDOWS\system32\wmvcore2.exe infected by "TrojanDownloader.Win32.Small.us" Virus. Action Taken: No Action Taken.

Sat Nov 06 13:40:44 2004 => File C:\WINDOWS\system32\xdcc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

so das müsstes sein. und nu?

Hallo,

auf deinem System sieht es leider gar nicht gut, daher lautet meine Empfehlung: http://www.trojaner-board.de/showpos...28&postcount=2

so schlimm? keine andere möglichkeit? ich habe nämlich keine sicherung gemacht und die daten sind sehr wichtig. bei meiner mutter isses noch schlimmer, weil sie das ähnliche problem hat und dazu noch onlinebanking macht....

Zitat:

Sat Nov 06 12:51:22 2004 => File C:\WINDOWS\system32\xdcc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Hier hat Shadowdance einen umfassenden Post zum Rbot erstellt. Da findest du u.a. auch einen Beitrag zur Datensicherung

scheisse... tshuldigung aber 60GB auf CDs zu sichern is wirklich bescheiden... kann ich nicht den pc meines bruders missbrauchen der auch im netzwerk ist? oder läuft der dann gefahr auch den wurm zu bekommen? (haben in letzter zeit ögfters "netzwerverkehr" und er scheint (noch) unbetroffen zu sein.

@ Doki01

Zitat:

Zitat von Doki01

kann ich nicht den pc meines bruders missbrauchen der auch im netzwerk ist?

Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten und W32/Wilab-A-> "Erläuterung" beachten.

Zitat:

Zitat von Doki01

oder läuft der dann gefahr auch den wurm zu bekommen? (haben in letzter zeit ögfters "netzwerverkehr" und er scheint (noch) unbetroffen zu sein.

Dein Bruder sollte auf seinem Rechner ebenfalls den eScan durchführen.

Die einzige Empfehlung, die es in diesem Fall gibt:

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Festplatte Formatieren - Schritt für Schritt

siehe die Postings von Cidre und Haui45.

SD

okay aber mit ner externen festplatte die neu is kann ich doch sicher meine daten auch sichern oder? sind meistens nur mp3. und textdateien und bilder... werden die denn auch befallen?

mp3s sind soweit ich weiss gegen Viren immun, da sie keinen ausführbare Code enthalten. Jedoch gibt es Viren/Trojaner die sich als Musikdatei tarnen.
Textdokumente (z.B. .doc)können sog Makroviren enthalten.
.txt-Dateien können keine Viren enthalten. Aber auch hier gibt es Malware die sich als .txt-Datei tarnt. Also ist bei allem Vorsicht geboten.
(alles imo)

Du kannst ja die externe Festplatte mit den Daten des infizierten PCs von einem sauberen Rechner aus mit einem aktuellen AV-Programm scannen.

Gruß
Yopie

ja nur mein problem ist dass wir zwar 4 rechner im haus haben aber kein einziger davon sauber ist... is im moment ne ziemliche seuche hier...

Wie siehts aus mit Nachbarn, Kollegen, Freunden...

Außerdem:
Wenn Du Deine Daten auf externer Festplatte sicherst und dann den PC sauber neu einrichtest, hast Du doch ein sauberes System, von dem Du dann die externe Festplatte scannen kannst!

Gruß
Yopie

da is allerdings was wahres dran... wie is das denn eigentlöich genau mit diesem makroviren? ich meine was bewirken die denn? weil bei meinem vater am pc hat der für jede textdatei 8 kopien erstellt und wenn man die ersten gelöscht hat ham die sich = wieder neu erstellt... sind die dateien noch zu gebrauchen oder muss ich die auch scannen dann? erkennt escan diese viren auch?

Meinst Du Makroviren in MS-Office-Dokumenten? Die sollten auch erkannt werden. E-Scan kann allerdings nicht säubern, sondern nur erkennen.

Zum Säubern musst Du einen anderen Virenscanner nehmen, die meisten musst Du kaufen. Ob die Dateien nach einer Säuberung noch zu gebrauchen sind wage ich allerdings zu bezweifeln. Öffnen sollte man sie aber auf keinen Fall, wenn eine Infektion festgestellt wurde.

Entweder existieren von den Dateien saubere Backups, oder: Pech gehabt.

Gruß
Yopie