Erst mal Servus,

ich fange mal an zu erzählen...


Habe vor drei tagen meinen rechner neu installiert, weil er davor ständig hängen geblieben ist.. Laut norton war nichts zu finden...

Nach der Installation, wo ich mit alles fertig war, und wieder nicht mal 10 min. online war, ist mein rechner wieder hängen geblieben.. Und zwar so schlimm, dass ich den kabel von der steckdose ziehen musste, da hatt sich nichts mehr gerührt gehabt..

Bei der zweiten Start, habe ich gleich bei der task-manager nachgeschaut, es waren die drei *.exe dateien die mir aufgefallen sind..

xdcc.exe, ksgkqy.exe, sysbkup.exe

meine suche mit Google hat ergeben, dass es sich hier um trojaner handelt..

Dann habe ich halt irgendwie diesen forum gefunden, bisschen nachgelesen, mir den e Scan runtergeladen, mein rechner gescant--> ergebnis: 39 dateien mit Trojanern, Würmer, Virus u.s.w.

Unter "Virus Log Information" bei e Scan, konnte ich lesen in welchem ordner die sich befunden haben, und habe *ALLE* weg gelöscht.. Jetzt sollte alles wieder in ordnung sein.. Aber ist nicht..

Bei dem zweiten scan (mit e Scan) hat er nur die sachen gefunden.. ich weiss nicht ob die bösartig sind:

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. (wurde drei mal gefunden)

File C:\WINDOWS\ml-uninstall-v10.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. (wurde zwei mal gefunden)

File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Und jetzt grad eben, vor 10 sek. hatte ne meldung von "AntiVirKit Wächter"

Es wurde versucht auf eien infizierte Dateizuzugreifen.
Datei : .pif
Verzeichnis: C:\WINDOWS\system32
Engine: BD-Engine
Virus: Backdoor.BotGet.FtpB.Gen

Wenn ich die Datei löschen will, kommt ne kleine Fenster mit dem Text:
Die Datei existiert nicht mehr
und dann muss ich nur Ok drücken..

Jetzt vorhin ist der zweite gekommen... ist das schlimm??

Naja, so viel von meiner Seite.. Hoffe dass mir einer Helfen kann, und Sorry dass ich so lang geschrieben habe...

Servus.. Greko..

Hier habt iht noch diesen Hijack This Log File:


Logfile of HijackThis v1.98.2
Scan saved at 02:57:07, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\t-online\browser\browser.exe
C:\Dokumente und Einstellungen\Cesur\Eigene Dateien\My eBooks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9F69903-EC82-42C0-B365-85E22387AF4E}: NameServer = 217.237.151.97 217.237.150.33

Hallo Greko,

ich kann Dir keine angenehme Nachricht überbringen. Es ist ziemlich schlimm. Eine Beschreibung des Backdoor.BotGet.Ftp zeigt, dass er zur SDBot-Familie gehört. Sollte Dein Rechner mit anderen Rechnern in einer LAN-Verbindung stehen, ist davon auszugehen, dass die anderen Systeme ebenfalls infiziert sind. Für diesen Backdoor gilt die Beschreibung von Backdoor.SdBot.gen und Backdoor.Agobot.3.gen analog. Beachte hier auch die "Erläuterung". Der Wurm ermöglicht Dritten den Fernzugriff auf Deinen Rechner.

Du musst davon ausgehen, dass alle vertraulichen Informationen, Passworte ect. ausspioniert werden. Dein Rechner ist kompromittiert.

Es gibt für Laaien keine andere Möglichkeit als den Rechner schnellst möglich aus dem Netz zu nehmen, neu zu formatieren und neuaufzusetzen. Bei Backdoor-Trojanern genügt einfaches Löschen nicht, da sie sich mit verschiedenen Schlüsseln in die Registry eingraben und Code auf dem Gesamt-System hinterlassen. Lies Dir diese Anleitungen durch, damit Dir weiteres Formatieren Deines Rechners erspart bleibt:

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Festplatte Formatieren - Schritt für Schritt
- Schutzmaßnahmen: www.trojaner-info.de

SD

Ach, du sch.....!!

mein rechner ist jetzt schrott oder was?? Denn ich habe es heute neu installiert gehabt zum 3.mal.. Aber habe den sch...., immer noch..

ich versuche es dann morgen nochmal.. Naja, was soll ich sagen, pech gehabt.. trotzdem danke schön..

@ Greko,

tut mir leid für Dich. Lies die Tips durch, insbesondere den Rat von Cidre, mach es gründlich und richtig und erspare Dir diese Arbeit in Zukunft ...

SD

Habe jetzt meinen rechner formatiert..

und habe gleich mit eScan durchsucht.. Es waren nur folgende sachen zu findne..

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\WINDOWS\ml-uninstall-v10.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.


ich weiss jetzt nur nicht ob die überhaupt Virus sind...

Und nochmal diesen HiJack This Log File..


Logfile of HijackThis v1.98.2
Scan saved at 14:18:51, on 09.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\Dokumente und Einstellungen\Cesur\Eigene Dateien\My eBooks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com

hmm...
dein log ist clean laut www.hijackthis.de
ist doch schonmal was... :aplaus:

File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
das ist irgendwas von deiner grafikkarte also nichts schlimmes der rest... sry kp

@Greko
ich würde mal vorsichtig sein,
wechsle in den abgesicherten modus und fixe,Häkchen setzen und auf Fix Checked klicken)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
diese datei manuell löschen
C:\WINDOWS\web\related.htm

die folgende 2einträge sind wahrscheinlich nicht sauber
bei dieser hier ist die funktion undeutlich
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
und dieser hier steht unter verdacht
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll

kannst du diese datein zuordnen?
wenn es ein programm ist das du kennst, dann dürfte es in ordnung sein.
wenn du das programm nicht kennst, zur Not googeln, dann manuell in den abgesicherten modus löschen
chaosman

Hallo nochmal,

nach dem ich die dateien gefixt habe, und wieder online war.. geht jetzt mein t-online browser nicht mehr.. habe jedesmal die meldung "aktion abgebrochen" oder "die seite kann nicht angeziegt werden"

Woher kommt denn das? was muss ich noch ändern..

Bitte nochmal um Hilfe!

Servus.. Greko..

EDIT:
Laut T-Online servise ist alles in ordnung.. Dort ist kein fehler zu sehen..

@ Greko

Arbeite dich mal hier durch http://www.gschwarz.de/mtu-wert.htm