kann bitte jemand mal meine logs prüfen
 

habe mir eine trojaner bzw wurm eingefangen
(Trojan-downloader.bat.ftp.c bzw. backdoor.win32.poe.bot)
mein virenprogr. findet nix mehr aber ich habe einen port scan gemacht und da werden immer noch offene ports angezeigt.
ich habe auch escan im abges.mod. laufen lassen der hatt ein paar sachen gekillt.
hier ist mein log:

Logfile of HijackThis v1.99.1
Scan saved at 14:08:05, on 08.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\bases\TRAYICOS.EXE
C:\bases\AVPMWrap.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\bases\MAILDISP.EXE
C:\bases\SPOOLER.EXE
C:\bases\MAILSCAN.EXE
C:\bases\kavss.exe
C:\bases\TRAYSSER.EXE
C:\bases\avpm.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\bases\AvpM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\bases\MWAVSCAN.EXE
C:\bases\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Beaves\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\bases\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\bases\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\bases\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115450112984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\bases\TRAYSSER.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\bases\avpm.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

vielen dank für eure hilfe

ohoh.. es sieht so aus, als dass ein rootkit installiert wurde sodass der zugriff auf deinen PC jederzeit möglich ist. das bedeutet, dass dein system kompromittiert ist. eine neuinstallation und absicherung des systems wie in diesem Link beschrieben ist deshalb unumgänglich.

@brixton
Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
Diese Einträge sollten gefixt werden.
Allerdings: ich würde gegen der Microsoft-Empfehlung und meiner Überzeugung verstößen, wenn ich dir nicht eine Neuinstallation empfehlen würde. Nach einem Backdoor-Befall ist dein System und auch die allen AV-Tools nicht mehr vertrauenswürdig. Der Link zur Anleitung dafür findest du in meiner Signatur.

@Ravermeister

Bitte Board-FAQ und hier lesen Wie poste ich falsch :pfui:

@ Rene-gad
hi, vielen dank für deine hilfe und deinen "Anschiss" (hast ja recht)
ich habe das system ja schon neu aufgesetzt
richtig mit low lewel formatierung und so aber ich bekomm das ding nicht weg. sobald ich vom antivirenprogr. ein update mache geht das los mit dem
virenattacken.

ich werde noch mal weiterforschen und vielen dank erst mal .

Hast du dein System nach dem Formatieren, vor der ersten Internetverbindung, auch entsprechend abgesichert?

Wenn du nach einer Neuinstallation Virenbefall hast, dann fallen mir nur 2 Dinge ein.
Du gehst online _bevor_ du SP2 installiert hast.
Du hast irgendeine CD die verseucht ist.

Deshalb, Neuinstallation, SP2, Virenscanner und dann alles scannen _bevor_ du es installierst oder speicherst.


Domino

@ Domino

ja ist richtig SP2 hatte ich noch nie drauf weil viele probleme geben kann.
ich habe mein system formatiert neu aufgespielt dann firewall inst. (Bitdefender) und das antivieren progr. inst. erst dann bin ich online gegangen.schon bei den ersten updates wurden mir viren angezeigt.
naja ich werde mal sp2 laden und nochmal alles neu machen.

fettes thx für die infos