Hallo,

habe meine Festplatte erst vor drei Tagen neu formatiert und wirklich nur das nötigste installiert, trotzdem ist der Pc und auch das Internet viel langsamer als vorher. Hier mein Logon:

Logfile of HijackThis v1.98.2
Scan saved at 17:06:45, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\WINDOWS\runservice.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svmhost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system\lsvchost.exe
C:\WINDOWS\System32\msnmsgrr.exe
C:\WINDOWS\System32\rpc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AIM95\aim.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\SmartSurfer2.3\SmartSurfer.exe
C:\OOTP 6\OOTP6.exe
C:\Programme\Symantec\LiveUpdate\AUpdate.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian Kuhn\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [msupdate] msupdate.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [msupdate] msupdate.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{E92356B6-FCCE-416A-B9B1-BC8DE79B326D}: NameServer = 195.182.110.132 62.134.11.4

Hallo,

du solltest folgendes fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/

C:\WINDOWS\System32\rpc.exe

O4 - HKLM\..\Run: [msupdate] msupdate.exe

O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe

O4 - HKLM\..\Run: [blah service] msnmsgrr.exe

O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe

O4 - HKLM\..\Run: [wvsvc] wvsvc.exe

O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe

O4 - HKLM\..\RunServices: [msupdate] msupdate.exe

O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe

O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe

O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe

O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe

O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe

O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe

O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe

@ Skywalker76

Setze dein System aus Sicherheitsgründen abermals neu auf, denn es ist nicht mehr vertrauenswürdig, da einige Würmer mit Backdoor Funktionlität aktiv sind. Der Grund für diese massive Kompromittierung dürfte dein ungepatchtes System vor dem ersten Online Gang gewesen sein!

Gehe nach dieser Anleitung vor http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:

msupdate.exe

W32/Rbot-FE

Zitat:

C:\WINDOWS\System32\rpc.exe

W32/Rbot-MD
usw.

@ Steveman

Mit dem fixen alleine ist es nicht getan!

Also erstmal vielen Dank an Euch.
Ich habe aber noch einige Fragen.

1. Reicht es, wenn ich Xp nochmals draufspiele, oder soll ich die ganze Festplatte nochmal formatieren ?

2. Ich habe Norten Antivir. Wie und wann setzte ich es in diesem Reinigungsprozess ein?

3. Wie fixe ich die angesprochenen Einträge.


Danke

Skywalker76

Irgendjemand eine Idee ?

Ach ja, nutzt es vielleicht etwas, wenn ich die XP Sicherheitsupdates jetzt noch herunterlade ?

@Skywalker76

frage 1
soll ich die ganze Festplatte nochmal formatieren?
ja
frage 2
Ich habe Norten Antivir. Wie und wann setzte ich es in diesem Reinigungsprozess ein?
zu spät siehe antwort frage 1
frage 3
Ach ja, nutzt es vielleicht etwas, wenn ich die XP Sicherheitsupdates jetzt noch herunterlade ?
nein, dafür ist es jetzt zu spät
frage4
Wie fixe ich die angesprochenen Einträge.
in abgesicherten modus mit HJT scannen, häkchen setzen und auf Fix Checked clicken
mache bitte dieses
Gehe nach dieser Anleitung vor http://www.trojaner-board.de/showpo...228&postcount=2
wie Cidre schon postete
chaosman

Zitat:

1. Reicht es, wenn ich Xp nochmals draufspiele, oder soll ich die ganze Festplatte nochmal formatieren ?

Nein, es reicht nicht!
Formatieren -> Partitionieren -> XP neu aufspielen

Zitat:

2. Ich habe Norten Antivir. Wie und wann setzte ich es in diesem Reinigungsprozess ein?

Gar nicht!
NAV hat wahrscheinlich nicht einmal die Malware erkannt, also wie willst du dein System dann damit bereinigen?!

Zitat:

3. Wie fixe ich die angesprochenen Einträge.

Unzureichende Bereinigung! Darum http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:

Ach ja, nutzt es vielleicht etwas, wenn ich die XP Sicherheitsupdates jetzt noch herunterlade ?

Sicherheitsupdates bzw. Patches sollten nur von einem sauberen System geladen werden.

EDIT:
chaosman war schneller.

Na Super! Dann wird der Sonntag wohl vor dem PC verbracht.

Danke Euch Beiden, für den tollen & schnellen Service hier auf dem Board.


Gruß

Skywalker76