6 mal formatiert aber bekomme Worm/Rbot.AAK nicht weg
 

Hi habe ein ernstes Vireproblem.
Nach dem formatieren habe ich direkt sp1 und andere Windowsupdates installiert, aber ich hab trotzdem immer und immerwieder diesen RBot :(
ich hoffe hier kann mir jemand weiterhefen wie ich mein System noch Retten kann

Logfile of HijackThis v1.99.0
Scan saved at 20:16:32, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
F:\AVPersonal\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\YPager.EXE
F:\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
E:\Steam\Steam.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105197564703
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38AC1760-0838-4C79-AFAF-A7DE059F496B}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Noch was, was nicht unbedingt hier her passt :
Weiss jemand woran es liegen kann das ich in sämtlichen Spielen .. egal ob CS oder Morrowind usw alle paar sekunden in mehr oder weniger gleichen abstaenden kurze Ruckler hab? an meiner Hardware leigt es sicher nicht .. 3.2ghz 1 gb ddr ram 9800 pro :(
Das mit den Rucklern habe ich erst seit ein paar Tagen

Wie kommst du darauf, daß du einen RBot auf dem Rechner hast?
cacatoa

sorry hätte ich noch erwähnen sollen.
Mein antvir meldet mir des halt :(


hier noch leicht verändertes Log

Logfile of HijackThis v1.99.0
Scan saved at 20:36:09, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\AVPersonal\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\YPager.EXE
F:\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

C:\WINDOWS\System32\wuauclt.exe <-- das war beim letzten net dabei

C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522ef\update\update.exe
F:\hjt\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105197564703
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38AC1760-0838-4C79-AFAF-A7DE059F496B}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hi,
HiJackThis sagt, die folgenden Prozesse gehören gefixt:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.soundblaster.com/
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE

Wobei ich glaube, daß der Messenger Absicht ist, oder?
Die Datei:
C:\WINDOWS\System32\wuauclt.exe
bitte online bei Jotti scannen lassen. Bitte berichte das Ergebnis (die 11 Zeilen hier reinkopieren).
Desweiteren rate ich dir, einen eScan genau nach Anleitung durchzuführen (dauert ca. 1 Stunde).
Dann auch dieses Ergebnis posten (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
Zuerst aber Jotti und das Ergebnis davon.
cacaota

Ne mit yahoo hab ich nichts zu tun.
Danke schonmal für deine Hilfe. Hier zunächst einmal das Ergebnis von Jotti:

File: wuauclt.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Kaspersky Anti-Virus No viruses found (0.65 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 No viruses found (0.40 seconds taken)
Norman Virus Control No viruses found (0.64 seconds taken)

mit escan naja dauert noch.. finde nirgendwo einen funktionierenden mirror dafür

ok nach etlichen versuchen ging es doch bei nem mirror wo sonst die seite net angezeigt werden konnte.. mein inet soinnt total
ab udn an bekomm ich auch nen popup was mir sagt: cant create socket.. danach funzt keine hompage mehr als ob ich off wäre obwohl ich es net bin
escan schaut sich gerade bei mir um bis später :>

Also, dann die Einträge fixen und eScan laufen lassen (mußt ja nicht daneben stehen)
cacatoa

jo einträge sidn gefixt bin tv gucken bis später =) und DAAAAAAAAAAAAANKE
bin schon echt am verzweifeln hier :/
falls du noch ne idee hast was dieses regelmäßige ruckeln in saemtlichen spielen sein kann :> hab ein offenes ohr

MfG

Despi

@ despi,
bin kein Spiele-Freak, aber vielleicht verrät uns der eScan etwas...
Bis denn
cacatoa
Edit: update auf SP2 wär auch mal nicht verkehrt....

hab sp2 nicht weil es sich als sehr inkompatibel zu den meisten spieleanwendungen zeigt, desweiteren auchzu diversen sprachtools.

mein antvir meldet mir gerade noch folgendes:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{C99D1B3D-4498-43CB-8C20-1AC1647A60DE}\RP5\A0003255.EXE

Enthält Signatur des Wurmes Worm/Spybo.374000.B

C:\SYSTEM VOLUME INFORMATION\_RESTORE{C99D1B3D-4498-43CB-8C20-1AC1647A60DE}\RP7\A0003325.EXE

Enthält Signatur des Wurmes Worm/Spybo.374000.B

hab diese und auch die Rbot Dinger schon mehrmals mit antivir aufgespürt und gelöscht.. aber sie kommenhalt immerwieder :(
Noch bis vor2 Wochen lief mein System stabil mit SP1 gut... 8 Monate oder so.Naja dann hab ich mal formatiert und seitdem hab ch diese Probleme

Ganz einfach erst mal:
Systemwiederherstellung deaktivieren, runterfahren.
Neu booten, Systemwiederherstellung wieder aktivieren, weg sind se....
cacatoa
Edit:
EScan doch sowieso im abgesicherten Modus bei deaktivierter Systemwiderherstellung durchführen.

wie deaktivier ich die systemwiederherstellung :/?

noch ein weiterer antvirfund:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{F39E506D-10F9-456F-828D-A0D9282DE75E}\RP8\A0003170.EXE

Enthält Signatur des Wurmes Worm/Wootbot.E

das ist im grunde genommen ganz einfach. rechtsklick auf arbeitsplatz, eigenschaften. unter systemwiederherstellung einfach einen haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" hin.
aber dass der wurm immer wieder auftaucht?... hm.. seltsam..

Rechte Maustaste Arbeitsplatz, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren
Später dann Aktivieren nicht vergessen!
cacatoa

@ chris:
Ist normal, da Signaturen in der Systemwiederherstellung immer wieder auftauchen, wenn nicht richtig entfernt/neu installiert wurde.
cacatoa

achso. ich hab gedacht dass er die festplatte ganz formatiert hat. (empfiehlt sich bei solchem ungeziefer) aber so isses natürlich klar, dasser wiederkommt btw dableibt.

@ chris
Hab ich auch gedacht; aber irgendwas stimmt nicht. Deshalb möchte ich gern die eScan Ergebnisse abwarten, um zu sehen, was er wirklich drauf hat.
Wobei ich vermute, daß eine erneute Neuinstallation (diesmal aber richtig) nicht ausbleibt ;)

hm ja da hast du warscheinlich recht @cacatoa ;) naja warten wir mal auf die escan ergebnisse

tjo da muss ich euch wohl bis morgen vertrösten.. escan is kurz vor ende abgestürzt..
wobei 17 viren erkannt wurden. allerdings wurde auch mirc.exe zb als virus erkannt was ja an sich nur nen chattool ist und nen ati treiber ebenso Oo

was bedeuten die angezeigte errors bei escan? hatte 27 :>

ich werd gleich esccan nochmal starten

errors sind normalerweise wenn er die datei nicht lesen kann (kommt vor wenn diese von windows verwendet wird). aber das escan abstürzt.. wirklich blöd.. achja mirc wird eben als tool erkannt, ist aber auch nur ein tool (stimmt in gewisser weise auch; escan erkennt nur, das es ein irc tool ist)
und bei ati genauso.
aber... moment mal! die mwav.log ist doch weiterhin gespeichert. der log wurde nur nicht weitergeschrieben! bitte poste den log btw das ergebnis wie cacatoa es sicherlich bereits beschrieben hatte. er ist wenn ich mich nicht irre nicht gelöscht.
wenn er es vergessen hat dann mach es so:
öffne die mwav.log gehe auf Bearbeiten, dann auf Suchen, gebe dann infected ein und suche schließlich weiter. die treffer postest du dann

ok hier mein escan log Oo evtl komm ich ja doch um ne formatierung rum >:? im moment scheint wieder alles stabil zu laufen :>


File C:\WINDOWS\System32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\YPager.EXE infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR00 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR01 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\AVPersonal\INFECTED\syscfg32.VIR02 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File F:\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
File F:\DAP\Temp\LDN89F.tmp tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\atiodtc18a.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\blabla\FlashFXP_21_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\eigene dateien\mirc616.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\GamerIrc\Gamers.IRC\backup\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.03. No Action Taken.
File F:\GamerIrc\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\mIRC\backup\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.12. No Action Taken.
File F:\mIRC\download\flashfxp.v2.0.build.905.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.
File F:\System Volume Information\_restore{77703D63-E6E1-4E30-8018-08CC96EE35EA}\RP22\A0006754.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File F:\System Volume Information\_restore{77703D63-E6E1-4E30-8018-08CC96EE35EA}\RP22\A0006755.exe tagged as not-a-virus:Porn-Dialer.Win32.Star. No Action Taken.
File F:\System Volume Information\_restore{8BE96644-CCFF-4AB5-A295-1741174B07C0}\RP9\A0005215.exe tagged as not-a-virus:RiskWare.IRC.6.03. No Action Taken.

@ despi
Aktive Backdoor-Trojs bedingen immer ein Neuaufsetzen des Systems. Halte Dich genauestens an die Hinweise in dem Link, damit nicht wieder die ganze Arbeit umsonst war.
Das hier hast Du drauf:
Einen aus der RBot-Reihe
einen aus der Forbot-Reihe.
Somit bleibt dir leider nichts anders übrig!
Melde Dich nach dem Neuaufsetzen mit einem neuen HJT-Log.
Sorry, cacatoa

aber wie vermeide ich das nach dem neuaufsetzen die teile wiederkommen... was nach 4mal schon der fall war ?
ich mein ich hab formatiert windows installiert dann direkt sp1..wobei ich dafür ja schon ins inet muss
hab diw xp firewall angemacht..
hab mozilla benutzt und nix anderes gemacht als mein windows upzudaten...
und trotz ALLEM kamen die biester immerwieder :(
und im link steht ja nix anderes als die vorgehensweise die ich sowieso schon benutzt habe.

Vor mittwoch werde ich dazu allerdings nicht kommen..
schreibe dafür zuviel klausuren und Referate müssen auch abgehalten werden.
bis mittwoch :>

Despi

@Despi
hier ein paar tips zum neuaufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2
überdenke auch mal dein surfverhalten ;)
ber wie vermeide ich das nach dem neuaufsetzen die teile wiederkommen... wie ncah den letzten 4mal schon ?
chaosman

Ganz einfach:
halte dich genauestens an die Vorgehensweise in dem Link von cidre, den ich Dir geschickt habe. Lies außerdem vorher unbedingt das: Kompromittierung vermeiden.
Neuaufsetzen heißt nicht Windows neu aufspielen, sondern format C:\ !!
cacatoa

ich meld mich mittwoch wieder :/ vorher hab ich keine zeit für den kram .. klausuren udn referate stehen an

Falls du dich tatsächlich genau an die Anweisungen gehalten hast, dürfte wohl Software, die du runtergeladen und wieder installiert hast, infiziert sein. Solange du die immer wieder neu mit installierst, nützt das Neuaufsetzen natürlich gar nichts.

soooo ich meld mich zurück
hier meien aktuelle hijack-log:

Logfile of HijackThis v1.99.0
Scan saved at 22:24:27, on 17.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\AVPersonal\AVGUARD.EXE
F:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\rundlI32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunServices: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunOnce: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows TM] rundlI32.exe
O4 - HKCU\..\RunOnce: [Windows TM] rundlI32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105994690995
O17 - HKLM\System\CCS\Services\Tcpip\..\{501E145A-8463-4C83-91F9-4D1231DA3909}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVPersonal\AVWUPSRV.EXE

hatte trotz allem nun aber schon wiede Probleme, und zwar nt autoriitätssystem blabla system wird runtergefahren blub.
ich hoffe man sieht des im hijack, escan lass ich auch noch drüberlaufen

mfg

Despi

pls kann mir das irgendwer auswerten :(?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\host32.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
F:\HLSW\hlsw.exe
F:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwalert...Security+Suite (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\RunServices: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [Sygate Personal Firewall] host32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106079539859
O17 - HKLM\System\CCS\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe <- verdächtig oder?
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Setz dein System neu auf und halte dich genau an diese Anleitung!

Das dürfte am ehesten helfen:
Link: http://www.apple.com/de/macmini/

MTT

Laufen ein paar viele Programme im Hintergrund.. aber ichdenke ich bin Virenfrei..

logfile of HijackThis v1.99.0
Scan saved at 23:32:53, on 19.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\dns1.exe
C:\WINDOWS\system32\host32.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
F:\Ventrilo\Ventrilo.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
F:\HLSW\hlsw.exe
F:\Cheating-Death\cdeath.exe
E:\Steam\Steam.exe
C:\Programme\ICQ\icq.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Ad-Aware SE Personal\Ad-Aware.exe
F:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwalert...Security+Suite (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [DNS Hosting Service] dns1.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] host32.exe
O4 - HKLM\..\RunOnce: [CAFIX] "C:\WINDOWS\system32\ZoneLabs\cafix.exe" /IgnoreAll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] host32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106079539859
O17 - HKLM\System\CCS\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{25777F53-DC39-47D8-BC82-7E73C2F53BBA}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

oh... ich befürchte grausames was auf deinem pc is..
lass mal die dateien dns1.exe und host32.exe bei http://virusscan.jotti.org/de überprüfen. ich ahne da etwas sehr schlechtes..

Sag mal, willst du uns verar***en?
Da ist wieder der gleich Mist drauf!!!

Setz bitte MyThinkThank's Tipp um und kauf dir einen Mac :headbang:

was du weißt bereits was es is?

man... du hast offenbar nicht die anleitung befolgt!!
das wäre zu verhindern gewesen wenn du dich daran gehalten hättest. tut mir leid, nochmal neuinstallieren und SP2 vor der neuinstallation downloaden und gleich nach der installation installieren!
dann auch an den rest der anleitung halten.

Mit einem Wort: Ja!

na dann is ja alles klar.. brauchst überhaupt nix mehr dazu sagen ich weiß schon jetzt bescheid wasses is..
klären wir das rätsel,
es ist wieder irgendwas aus der botreihe..

ich hab mich allerdings genauestens an die anleitung gehalten...
sp2 hab ich nun auch..
dns1 ist nen rbot ja, aber im moemnt kann er nicht durch meine firewall dringen und das ist auch gut so

Du schaffst es nicht mal deinen PC sauber zu halten und meinst dann allen Ernstes auch noch, dass eine PFW einen Schutz bietet http://www.mainzelahr.de/smile/froehlich/roflrofl.gif

btw: der Eintrag "Sygate Personal Firewall" ist auch eine "Bot-Variante"

argh!!! das ärgert mich irgendwie..
wenn du dich an die anleitung richtig gehalten hättest, würdest du jetzt keine viren besitzen. und dann wüsstest du auch warum eine pfw nix bringt!

neuinstallieren und die anleitung mit jedem noch so kleinen schritt beachten!
ich sag zu diesem thema jetz nichts mehr, es ärgert mich dann nur zu sehr.