|
6 mal formatiert aber bekomme Worm/Rbot.AAK nicht weg Hi habe ein ernstes Vireproblem. Nach dem formatieren habe ich direkt sp1 und andere Windowsupdates installiert, aber ich hab trotzdem immer und immerwieder diesen RBot :( ich hoffe hier kann mir jemand weiterhefen wie ich mein System noch Retten kann Logfile of HijackThis v1.99.0 Scan saved at 20:16:32, on 08.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE F:\AVPersonal\AVGUARD.EXE F:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\YPager.EXE F:\AVPersonal\AVGNT.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe E:\Steam\Steam.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE F:\hjt\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105197564703 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{38AC1760-0838-4C79-AFAF-A7DE059F496B}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Noch was, was nicht unbedingt hier her passt : Weiss jemand woran es liegen kann das ich in sämtlichen Spielen .. egal ob CS oder Morrowind usw alle paar sekunden in mehr oder weniger gleichen abstaenden kurze Ruckler hab? an meiner Hardware leigt es sicher nicht .. 3.2ghz 1 gb ddr ram 9800 pro :( Das mit den Rucklern habe ich erst seit ein paar Tagen |
Wie kommst du darauf, daß du einen RBot auf dem Rechner hast? cacatoa |
sorry hätte ich noch erwähnen sollen. Mein antvir meldet mir des halt :( hier noch leicht verändertes Log Logfile of HijackThis v1.99.0 Scan saved at 20:36:09, on 08.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\AVPersonal\AVGUARD.EXE F:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\YPager.EXE F:\AVPersonal\AVGNT.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\wuauclt.exe <-- das war beim letzten net dabei C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522ef\update\update.exe F:\hjt\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105197564703 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{38AC1760-0838-4C79-AFAF-A7DE059F496B}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
Hi, HiJackThis sagt, die folgenden Prozesse gehören gefixt: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/ O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE Wobei ich glaube, daß der Messenger Absicht ist, oder? Die Datei: C:\WINDOWS\System32\wuauclt.exe bitte online bei Jotti scannen lassen. Bitte berichte das Ergebnis (die 11 Zeilen hier reinkopieren). Desweiteren rate ich dir, einen eScan genau nach Anleitung durchzuführen (dauert ca. 1 Stunde). Dann auch dieses Ergebnis posten (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.) Zuerst aber Jotti und das Ergebnis davon. cacaota |
Ne mit yahoo hab ich nichts zu tun. Danke schonmal für deine Hilfe. Hier zunächst einmal das Ergebnis von Jotti: File: wuauclt.exe Status: OK Packers detected: None AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.36 seconds taken) ClamAV No viruses found (0.41 seconds taken) Dr.Web No viruses found (0.54 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Kaspersky Anti-Virus No viruses found (0.65 seconds taken) mks_vir No viruses found (0.23 seconds taken) NOD32 No viruses found (0.40 seconds taken) Norman Virus Control No viruses found (0.64 seconds taken) mit escan naja dauert noch.. finde nirgendwo einen funktionierenden mirror dafür |
ok nach etlichen versuchen ging es doch bei nem mirror wo sonst die seite net angezeigt werden konnte.. mein inet soinnt total ab udn an bekomm ich auch nen popup was mir sagt: cant create socket.. danach funzt keine hompage mehr als ob ich off wäre obwohl ich es net bin escan schaut sich gerade bei mir um bis später :> |
Also, dann die Einträge fixen und eScan laufen lassen (mußt ja nicht daneben stehen) cacatoa |
jo einträge sidn gefixt bin tv gucken bis später =) und DAAAAAAAAAAAAANKE bin schon echt am verzweifeln hier :/ falls du noch ne idee hast was dieses regelmäßige ruckeln in saemtlichen spielen sein kann :> hab ein offenes ohr MfG Despi |
@ despi, bin kein Spiele-Freak, aber vielleicht verrät uns der eScan etwas... Bis denn cacatoa Edit: update auf SP2 wär auch mal nicht verkehrt.... |
hab sp2 nicht weil es sich als sehr inkompatibel zu den meisten spieleanwendungen zeigt, desweiteren auchzu diversen sprachtools. mein antvir meldet mir gerade noch folgendes: C:\SYSTEM VOLUME INFORMATION\_RESTORE{C99D1B3D-4498-43CB-8C20-1AC1647A60DE}\RP5\A0003255.EXE Enthält Signatur des Wurmes Worm/Spybo.374000.B C:\SYSTEM VOLUME INFORMATION\_RESTORE{C99D1B3D-4498-43CB-8C20-1AC1647A60DE}\RP7\A0003325.EXE Enthält Signatur des Wurmes Worm/Spybo.374000.B hab diese und auch die Rbot Dinger schon mehrmals mit antivir aufgespürt und gelöscht.. aber sie kommenhalt immerwieder :( Noch bis vor2 Wochen lief mein System stabil mit SP1 gut... 8 Monate oder so.Naja dann hab ich mal formatiert und seitdem hab ch diese Probleme |
Ganz einfach erst mal: Systemwiederherstellung deaktivieren, runterfahren. Neu booten, Systemwiederherstellung wieder aktivieren, weg sind se.... cacatoa Edit: EScan doch sowieso im abgesicherten Modus bei deaktivierter Systemwiderherstellung durchführen. |
wie deaktivier ich die systemwiederherstellung :/? noch ein weiterer antvirfund: C:\SYSTEM VOLUME INFORMATION\_RESTORE{F39E506D-10F9-456F-828D-A0D9282DE75E}\RP8\A0003170.EXE Enthält Signatur des Wurmes Worm/Wootbot.E |
das ist im grunde genommen ganz einfach. rechtsklick auf arbeitsplatz, eigenschaften. unter systemwiederherstellung einfach einen haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" hin. aber dass der wurm immer wieder auftaucht?... hm.. seltsam.. |
Rechte Maustaste Arbeitsplatz, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren Später dann Aktivieren nicht vergessen! cacatoa |
@ chris: Ist normal, da Signaturen in der Systemwiederherstellung immer wieder auftauchen, wenn nicht richtig entfernt/neu installiert wurde. cacatoa |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board