ich bitte um Hilfe
 

Hallo, ich habe jetzt es endlich geschafft, ein hijackthis zu machen.

Wie ich schon mal in die Taverne geschrieben habe, macht mein PC nicht mehr das was ich will und ist gans langsam!!!!!!!

Ich hoffe es ist nichts Schlimmes, denn ich habe keine Ahnung, mein Bruder hat mir den PC gegeben und angeschlossen, danach konnte ich auch gut in das Internet, aber seit fünf Tagen geht es nicht mehr so richtig.


Logfile of HijackThis v1.99.1
Scan saved at 18:44:09, on 15.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Plaxo\2.1.0.80\InstallStub.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe -
O4 - HKCU\..\Run: [msnmsgr] "C:\ MSN-Msgr\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Xiawpwew] C:\WINDOWS\System32\l?gonui.exe
O4 - HKCU\..\Run: [Kws5ROatR] subpbrd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} –
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Nun hoffe ich das ihr damit was anfangen könnt.

silver*

Hallo silver*,

so wie ich das sehe, wirst du um ein Neuaufsetzen deines Systems nicht herumkommen...

Lade und scanne trotzdem mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Hallo Cidre, ich habe mir das mit dem iscan durchgelesen das ist aber gans schön kompliziert, ja ich werde das versuchen, es kann aber eine Zeit vergehen, da ich ja erst seit kurzem einen PC besitze.

Frage; warum Neuaufsetzen?
Ist da was Schlimmes?
Ich habe doch nur gemacht, was mein Bruder mir gesagt hat.
Er sagte es könne so nichts geschehen?!

silver*

In deiner Registry sind jedenfalls viele Malware Einträge vorhanden, die auf Backdoor Trojaner schließen lassen.

Dann hat er keine Ahnung, wenn er grundlegende Sicherheitsmaßnahmen außer Acht lässt, wie z.B. das Patchen eines Systems.

btw:
Die eScan Anleitung ist 'ONU-sicher', du wirst es schon schaffen.

Hallo wenn ich es richtig gemacht habe ist das das Ergebnis, hat aber fast eine Stunde gedauert, kann das sein?

File C:\WINDOWS\system32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus. No action Taken
File C:\WINDOWS\system32\NziLv9b679.ini infected by "Backdoor.Win32.Ciadoor.13" Virus. no action Taken
File C:\WINDOWS\system32\wsock32.sys infected by "Backdoor.Win32.Ciadoor.13" Virus. no action Taken

silver*

hast du neuinstalliert? wenn nein, hole dies bitte nach.
wenn ja, lieber gleich format c: da das wieder ein backdoor ist.

http://securityresponse.symantec.com...ciadoor.b.html
Aus diesem Grund möchtest Du dringend und asap http://www.trojaner-info.de/report_i...nleitung.shtml befolgen.

Gruß :daumenhoc
Yopie

Ja, ich kann aber leider kein Englisch, aber selbst für mich hört sich das gefährlich an.
Ich habe mir das mit dem Neuaufsetzen durchgelesen, aber ich habe keine CD, die hat mein Bruder und der sagte: Neuaufsetzen ist überflüssig, das geht auch so ich soll mich nicht so aufregen, ich war grantig am Telefon und er sagte; ich soll doch nicht alles glauben was in Foren geschrieben wird.

silver*

Du kannst es dir hilfsweise übersetzen lassen unter http://babelfish.altavista.com/ . Kurz gesagt kann ein Dritter alles machen mit "deinem" Rechner, was du auch machen kannst. Nur wird der andere den Rechner nicht für ein bißchen Internet und Office und Zocken nutzen, sondern für Sachen, die man besser nicht unter eigenem Namen macht: Spam, Kinderpornos, Raubkopien, Phishing, ...
Das sind nicht nur Hirngespinste, das ist Realität! Beispielhaft sei auf http://www.heise.de/newsticker/resul...rds=Spam%20IRC verwiesen.

Und da der Dritte auch Systemdateien ändern kann, wirst du (oder dein Bruder) die Unversehrtheit nicht mehr garantieren können. Siehe auch http://www.mathematik.uni-marburg.de...c-removal.html

Zunächst: Kostenlose Betriebssystem existieren, Ubuntu und Mandriva z.B. . Man muss sich dort halt einmal einarbeiten, und dann funktionieren die auch. Ansonsten ist es problemlos möglich, Windows im nächsten Blöd&Geizig-Markt zu kaufen.

Ob du irgendwelchen Foren glaubst oder deinem Bruder (der seine nicht vorhandene Fachkenntnis mit seinen Aussagen selbst bewiesen hat) ist deine Entscheidung. Wenn du nicht neu aufsetzt hab ich nur folgende dringende Bitte: verbinde den Rechner nie wieder mit dem Internet! Du bringst nicht nur dich in Schwierigkeiten, sondern viele andere Netzteilnehmer.

Gruß :daumenhoc
Yopie

So, nun wieder mal der Querkopf; Charlie.

Schaut euch mal das HJT genau an, halt nicht bloß überfliegen.
Die Personen, ob nun Bruder/Bruder, oder Schwester/Schwester, haben überhaupt kein Problem, denn mit einem Wisch ist alles weg!

Liebe Grüße, Charlie

Ich nehme an, du meinst mit "Wisch" nicht "format c:". Wie möchtest du aus der Ferne die Integrität der Systemdateien garantieren, ohne "format c:"?

Fup'2 http://www.trojaner-board.com/showthread.php?t=12784 (wo imho bereits alle Argumente pro / contra ausgetauscht sind)

Gruß :daumenhoc
Yopie

Schau mal,
Das haben sie vergessen wegzumachen, oder bewusst als Stolperstein gelassen, weiß ich nicht!

O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware


Liebe Grüße, Charlie

Danke für den Hinweis. :) Ich kenne mich mit VMWare nicht aus (ich weiß nur so ungefähr, was es ist). Aber vielleicht klärt uns silver* ja noch auf, was der Tanz hier soll....

Gruß :daumenhoc
Yopie

Na, ich würde mal sagen, (entschuldige silver*), dass war eine Verarschung, aber ich muss sagen, gut gelungen.

Was du nun zu machen hast, sind zwei Klicks, aber das dürftest du ja auch wissen, und lass dich hier nie wieder sehen, oder doch, dann aber als Helfer!

Charlie

Wenn's so ist, dann war von Rechtschreibfehlern bis zu 'multiple exclamation marks' alles dabei, was man von der Jamba-Generation erwartet. Da ziehe ich, wenn auch innerlich widerstrebend, den virtuellen Hut.

Gruß :daumenhoc
Yopie