Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Immer wieder das gleiche Problem... (https://www.trojaner-board.de/17430-immer-gleiche-problem.html)

nuki 04.05.2005 20:49
Immer wieder das gleiche Problem...
 
Ich habe meinen Rechner jetzt 5 mal formatiert und jedes mal tritt das gleiche Problem wieder auf. Sobald ich meine Firewall ausschalte, meldet mir antivir dass sich ein Wurm (Codbot.z) auf meinem PC befindet. Wenn ich auf laufende Prozesse schaue, so belegt svchost.exe 99% meiner Rechenleistung. Beende ich diese Anwendung, so ist mein PC und mein Inet zwar wieder schneller, aber dennoch spürbar langsamer als vorher. Ich kann leider mit aktivierter Firewall (Zonealarm) nicht spielen, da mein Ping zu hoch ist. Ich weiss nicht wie ich den Virus wegbekomme? Bei meinem Laptop habe ich dieses Problem nicht, der ist ohne Firewall im Netz und hat keinen Virus drauf. Der Virus kommt sogar schon wenn ich nicht mal surfe, sondern einfach im Internet bin. Naja, hier mal die Logfile (wenn ich svchost.exe beende):

Logfile of HijackThis v1.99.1
Scan saved at 21:44:37, on 04.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\The All-Seeing Eye\eye.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\mario\Eigene Dateien\Downloads\hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: Win32 Classes -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE1588F2-2854-4DEB-952A-AB7607DBE86F}: NameServer = 194.8.194.60 213.168.112.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

Hoffe ihr könnt mir da helfen!
Grüße!

The Saint 04.05.2005 20:58
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 21:44:37, on 04.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Kein Wunder dein Betriebssystem ist offen wie ein Scheunentor!!
Windowsupdate fehlt

Bis auf diesen Eintrag
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm scheint es OK zu sein.

Scanne sicherheitshalber mit Escan

nuki 04.05.2005 21:34
Hab den Scan mal durchlaufen lassen:

Wed May 04 22:19:58 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Wed May 04 22:20:13 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed May 04 22:20:13 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed May 04 22:20:13 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\Start.exe)! Action taken: No Action Taken.
Wed May 04 22:20:13 2005 => File System Found infected by "cws.smartsearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed May 04 22:21:42 2005 => File C:\WINDOWS\System32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.c. No Action Taken.


Was nun?

The Saint 04.05.2005 22:08
Hast du apache oder Xamp installiert?

Wed May 04 22:21:42 2005 => File C:\WINDOWS\System32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.c. No Action Taken.

Starte in den abgesicherten Modus.
Hierbei beachte das die Systemwiederherstellung abgeschalten ist und dies geschieht folgendermaßen.

Rechter Mausklick auf das Symbol Arbeitsplatz --> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren setzen").
Oder diese Erklärung http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Danach scanne mit Spybot
danach fixe mit Hijackthis diesen Eintrag

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

nochmals mit escan scannen Computer neustarten und den Inhalt der escan_neu.txt posten sowie auch ein neues HJT logfile.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131