Hoi, könnt ihr den mal checken?
 

Logfile of HijackThis v1.99.1
Scan saved at 15:25:41, on 10.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
F:\setups\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HJK\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {1EB7E631-57A8-4CBB-96F4-C07A3881307D} - C:\WINDOWS\System32\mhcb.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [Generic Host Process32g System Backup] scvhost32cg.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamld.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] dynitora.exe
O4 - Global Startup: T-Online Update.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B83F86C-6B61-44EB-A451-33A497A3C770}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{7B83F86C-6B61-44EB-A451-33A497A3C770}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{7B83F86C-6B61-44EB-A451-33A497A3C770}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hallo Gehirnboon,

Das ist der Hauptgrund Deines verseuchten Systems! Ein ungepatchtes System!

Da sind mehrere Trojaner mit Backdoorfunktionalität aktiv:

http://www.sophos.de/virusinfo/analyses/w32rbottw.html

Hier wird Dir dringend geraten, Dein System mittels "Format C:" neu aufzusetzen, um dies zu vermeiden:

http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030

hier eine erstklassige Anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Ist`n Kundenrechner *lol*, also neu Aufsetzen, danköööö! :sleepy:

An dieser Stelle habe ich aufgehört zu lesen. Patchlevel: unter aller Sau!

http://www.trojaner-info.de/report_i...nleitung.shtml

Einen aktiven Backdoor konnte ich allerdings nicht sehen. Vielleicht schon ausgebessert?

Gruß :daumenhoc
Yopie

den hier hab ich gefixt:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\HJK\LOKALE~1\Temp\se.dll/sp.html

hab aba immer noch den TR/startpage drauf.. *grml*

Kein wunder fu hast ja a keine firewall

Und Du bist nahe am *plonk*....

@Gehirnboon
Versuchs mal mit eScan, Anleitung genau beachten:
http://www.trojaner-board.de/42731-escan-anleitung.html

Wenn der Rechner nicht hinter einer Firewall war, dann würde es mich stark wundern, wenn nicht irgendein Bot drauf wäre.

Gruß :daumenhoc
Yopie

schön und gut, aber die auswertung hat eindeutig ergeben dass er KEINE firewall hat...

schau dir den log mal den log mal genau an, wo ist da ne aktive firewall?


entweder hat er garkeine oder ne unbekannkte


*bin am plonk vorbeigelaufen*

ich kann mich zwar irren, denke aber nicht

Ja. Und? Hab ich auch nicht (auf dem Rechner)....

Gruß :daumenhoc
Yopie

isch au keine drauf :pfui: