|
Bitte mal anschauen und mir helfen! Habe Probleme auf meinem Rechner. Und zwar wird er irgendwann langsamer und ragiert nicht mehr. Den Taskmanager kann ich dann auch nicht mehr öffnen. Hier mein Logfile. Logfile of HijackThis v1.99.1 Scan saved at 13:54:29, on 25.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sicherheit\AVPersonal\AVGUARD.EXE C:\Programme\Sicherheit\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\tlntsvr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spoolsrv.exe C:\WINDOWS\System32\lxqufhav.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\winhost.exe C:\Programme\Internetzugang\Teledat\IWatch.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internetzugang\XXL-Surfer\XXL.exe C:\Programme\Internetzugang\Browser\Opera\opera.exe C:\Programme\Sicherheit\AVPersonal\AVGNT.EXE C:\Programme\Microsoft IntelliPoint\Point32.exe C:\Dokumente und Einstellungen\Neo\Desktop\hijackthis\HijackThis.exe O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - I:\PROGRA~1\WINDOW~1\ASHAMP~1\PopUp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\WINDOW~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Windows DLL Tracker] spoolsrv.exe O4 - HKLM\..\Run: [Internet] lxqufhav.exe O4 - HKLM\..\Run: [Windows Registry] winhost.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\RunServices: [Windows DLL Tracker] spoolsrv.exe O4 - HKLM\..\RunServices: [Internet] lxqufhav.exe O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe O4 - HKLM\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Windows DLL Tracker] spoolsrv.exe O4 - HKCU\..\Run: [Internet] lxqufhav.exe O4 - HKCU\..\Run: [Windows Registry] winhost.exe O4 - HKCU\..\RunServices: [Internet] lxqufhav.exe O4 - HKCU\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Internetzugang\Teledat\IWatch.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - I:\Programme\Grafik-Tools\Ebay\Ebay.htm O9 - Extra button: PicGrab - {339C4EDA-695A-4A33-88AF-E63DC2716E46} - I:\Programme\Grafik-Tools\PicGrab\iestarter.exe (HKCU) O9 - Extra button: (no name) - {D9E72E21-A756-4B6A-AC46-5F6C8677AEA2} - I:\Programme\Grafik-Tools\PicGrab\iestarter.exe (HKCU) O9 - Extra 'Tools' menuitem: &PicGrab starten - {D9E72E21-A756-4B6A-AC46-5F6C8677AEA2} - I:\Programme\Grafik-Tools\PicGrab\iestarter.exe (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBF377B-0491-4571-8EA9-5B89DC67B417}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{9806041B-9A6E-4E78-AABC-E67461DBEABA}: NameServer = 217.10.66.66 217.10.64.99 O17 - HKLM\System\CS1\Services\Tcpip\..\{2EBF377B-0491-4571-8EA9-5B89DC67B417}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{2EBF377B-0491-4571-8EA9-5B89DC67B417}: NameServer = 192.168.121.252,192.168.121.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Sicherheit\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Sicherheit\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
@Neo30880 Zitat:
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden Zitat:
Zitat:
|
@Rene-gad ich weiß ja nicht, aber hältst du das wirklich für eine gute Idee? Das schau für mich nach einigen Backdoors aus. btw: Warum soll er/sie die C:\WINDOWS\System32\ctfmon.exe löschen? @Neo30880 Scanne dein System mal mit eScan im abgesicherten Modus und poste was wo gefunden wird. |
Dank Danke! Was heiß fixen lassen? |
Führe bitte erst den Scan durch. |
Zitat:
Aber trotzdem, was heißt "fixen"??? |
Fixen= mit HjT scannen, Haken setzen und "fix checked" anklicken, eigentlich logisch ;) btw: Der Link in mjeiner Sig. hätte auch zum gewünschten Ergebnis geführt... P.S.: die ctfmon.exe würde ich nicht löschen ;) |
Hier das Ergebnis: File C:\WINDOWS\system32\spoolsrv.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\lxqufhav.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\winhost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken. |
Hallo, Backdoor.Win32.Wootbot.am -> http://www.sophos.de/virusinfo/analy...2forbotcr.html Backdoor.Win32.Rbot.gen -> http://www3.ca.com/securityadvisor/v....aspx?id=39437 Daraus resultiert, zur deiner eigenen Sicherheit, ein Neuaufsetzen deines Systems, siehe den Link in meiner Signatur. |
@Haui45 Zitat:
Sorry. Ich habe nur gefunden, das winhost in Verbindung mit W32/Bropia gebracht wird, nicht mit einem BDS, spoolsrv.exeist schlimmstenfalls Adware, die sich mit dem von mir beschriebenen Vorgehen killen ließ, die lxqufhav.exelässt sich über Google nicht finden, denn der Name über einen teuflischen Namensgengerator erfunden wurde. EDIT: Mittlerweile sind die Anzeichen von den gefundenen BDS aus dem Log nicht ersichtlich. Ich bin immer für Format c:\ aber nun rein wissenschaftlich gesehen.. ;). Ich glaube eher nicht, dass Kaspersky so viel False-Positives meldet. |
Zitat:
|
Zitat:
-> Warum das System kompromittiert wurde. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board