Total Schaden
 

Hallo Jungs und Mädels

Vor ungefähr einem Monat hat es meinen Rechner erwischt.
Hab die Viren nicht mehr gezählt die drauf wahren ( mehr als 50, zwischen durch dann aber wieder mal 10 die vorher nicht da wahren ... scheinbar eine ganz gemeine Atacke gewesen) .. glaube solangsam bin ich sie alle los.
Ab und an möchte aber der Rechner sich in das I-net einwählen. Es erscheint eine Meldung die ungefähr Lautet: Ein programm möchte sich mit dem Internet verbinden etc.
Hab hier schon gestöbert und gesehen das es hilfreich is dieses HijackThis log zu posten. Hoffe mir kann jemand helfen. Norton findet nichts mehr auf meiem Rechner. Möchte eine neuinsta. vermeiden.
Grüße gastgast

Logfile of HijackThis v1.97.7
Scan saved at 17:12:34, on 13.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\m?iexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {6EA9375C-BB66-25CD-D703-64550DF37C45} - C:\WINDOWS\System32\ubjmj.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\Run: [msconfig.exe] C:\WINDOWS\TEMP\laad.exe
O4 - HKLM\..\Run: [Windows Automatic Updates] dvldr.exe
O4 - HKLM\..\Run: [Winupdate Service] winxp2.exe
O4 - HKLM\..\Run: [wordpad] wordpad.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] rapid.exe
O4 - HKLM\..\Run: [OHBABE] C:\msex.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe
O4 - HKLM\..\RunServices: [Windows Automatic Updates] dvldr.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp2.exe
O4 - HKLM\..\RunServices: [wordpad] wordpad.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] rapid.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [msdev] msdev.exe
O4 - HKCU\..\Run: [Rohr] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\arta.exe
O4 - HKCU\..\Run: [Wbc] C:\WINDOWS\System32\m?iexec.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] rapid.exe
O4 - HKCU\..\Run: [wordpad] wordpad.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03583220-560B-4E01-ACBA-8DA036CEB7C6}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{03583220-560B-4E01-ACBA-8DA036CEB7C6}: NameServer = 217.237.150.97 217.237.149.161

Du hast dir bei 50 Viren also keine Gedanken gemacht, wie das passieren konnte :headbang:
Zusätzlich hast du dich dann noch auf deinen AV verlassen :kloppen:

Zu deinem Problem:
Auf deinem System sind/waren viele verschiedene Backdoors aktiv, die Fremden uneingeschränkten Zugriff auf dein System ermöglichen, so
u.a.
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe ->http://www.sophos.de/virusinfo/analyses/w32rbota.html
O4 - HKLM\..\RunServices: [msdev] msdev.exe -> http://www.sophos.de/virusinfo/analy...2forbotcr.html
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe -> http://www.sophos.de/virusinfo/analy...2forbotcg.html
O4 - HKLM\..\RunServices: [Windows Automatic Updates] dvldr.exe -> http://www.sophos.de/virusinfo/analyses/w32rbotip.html

daher lautet meine Empfehlung formatieren und neu aufsetzen
Lutz über Datensicherung
Pflichtlektüre
über die Entfernung von Schädlingen
Ein Grund für die Kompromittierung deines Systems dürfte sein, dass es kein bisschen gepatcht ist (Sp2 ist aktuell)

THX @ Haui45

Muss ich wohl neu aufsetzen das System. :nixda:
Würde gerne wissen wie ich mir die Seuche geholt habe. Lege eigentlich ein gesundes Surfverhalten an den Tag.
Benutze das Interent nur für E-Mailing und Surfen.
Danke für die Hilfe. Super Board *großLobAussprech* :daumenhoc:

Der Button "Windows Update" im Windows Startmenü dient nicht der Dekoration, sondern ist dazu da, hin- und wieder mal benutzt zu werden. Das hast Du nicht getan, deswegen ist Dein System aufgrund bestehender Sicherheitslücken offen für Zugriffe von außen.

Mein Rat: Lade Dir von einem sauberen Rechner das Update-Pack von Winboard.org runter ( http://download.winboard.org/downloads.php?ordner_id=70 ), und installiere es nach dem Neuaufsetzen und vor dem ersten Onlinegehen.

Gruß :daumenhoc
Yopie