|
Trojaner-Befall. LOG anbei Hallo! Ich habe seit einiger Zeit ein recht merkwürdiges Problem: Der PC scheint oft sehr ausgelastet zu sein und die HG arbeitet. Ebenso wird der Computer immer langsamer und die Taskleiste arbeitet nicht richtig. Wenn ich z.b. dann STRG+ALT+ENTF drücke, um den Taskmanager aufzurufen, dann erscheint zwar das grüne Symbol in der Taskleiste, aber der Manager öffnet sich nicht und man kann ihn auch nicht über das grüne Symbol in der Taskleiste öffnen. Ebenso öffnen sich andere Programme, wie z.b. WinRAR nicht. Anbei mal mein LOG-File. Schon jetzt vielen Dank für die Hilfe. Logfile of HijackThis v1.98.2 Scan saved at 18:32:24, on 11.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\system32\clipsrv.exe P:\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe P:\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\tlntsvr.exe P:\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe p:\WindowBlinds\wbload.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\WINDOWS\System32\sstray.exe P:\QuickTime\qttask.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\ctfmon.exe P:\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\KEM.exe P:\PC Alert 4\PCAlert4.exe P:\WinZip 9.0\WZQKPICK.EXE P:\iOpus Flatrate Steckdose\flatrate.exe C:\PROGRA~1\WIDCOMM\Bluetooth Software\BtStackServer.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe P:\Microsoft Office\OFFICE11\OUTLOOK.EXE P:\WinRAR\WinRAR.exe C:\WINDOWS\System32\taskmgr.exe P:\WinRAR\WinRAR.exe C:\WINDOWS\System32\wuauclt.exe P:\Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe R:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.81.91.195:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - P:\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - P:\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - P:\Net Transport\NTIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - p:\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - P:\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] P:\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "P:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [QuickTime Task] "P:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] p:\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: FlatrateSteckdose.lnk = P:\iOpus Flatrate Steckdose\flatrate.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: PC Alert 4.lnk = P:\PC Alert 4\PCAlert4.exe O4 - Global Startup: WinZip Quick Pick.lnk = P:\WinZip 9.0\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Download all by Net Transport - P:\NETTRA~1\NTAddList.html O8 - Extra context menu item: Download by Net Transport - P:\NETTRA~1\NTAddLink.html O8 - Extra context menu item: Download with GetRight - P:\GetRight\GRdownload.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://P:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open Selected URL - p:\RightClick_IE\openselectedurl.htm O8 - Extra context menu item: Open with GetRight Browser - P:\GetRight\GRbrowse.htm O8 - Extra context menu item: Search &Google - p:\RightClick_IE\google.htm O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - p:\Preispiraten\preispiraten2.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - p:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - p:\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - P:\Yahoo!\Messenger\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - P:\Yahoo!\Messenger\YPager.exe O16 - DPF: {0000000A-9980-0010-8000-00AA00389B71} - O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100194064984 O17 - HKLM\System\CCS\Services\Tcpip\..\{B5AD9B75-6F3D-4544-92D9-061AD4E7634A}: NameServer = 217.237.150.97 217.237.149.161 |
Hallo, vandura, Dein logfile ist relativ schön, d.h. die folgenden, wenn Sie dir nicht bekannt sind, solltest Du fixen: O16 - DPF: {0000000A-9980-0010-8000-00AA00389B71} - O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - Wenn Du Probleme hast, müssen sie nicht unbedingt im HJT Logfile auftauchen. Mach doch mal einen eScan im abgesicherte Modus bei deaktivierter Systemwiederherstellung. Das Ergebnis (..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) mal hier reinstellen. |
Danke sehr. habe das mal gemacht. Herausgekommen ist folgendes: Fri Nov 05 11:44:20 2004 => ERROR!!! Invalid Entry = "C:\Program Files\Internet Explorer\iexplore.exe" -nohome. Removing it. Fri Nov 05 11:44:23 2004 => ERROR!!! Invalid Entry \??\Z:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI... Fri Nov 05 11:44:25 2004 => ERROR!!! Invalid Entry \??\Z:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS... Fri Nov 05 11:44:26 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\JENSME~1\LOKALE~1\Temp\PCD61X2.sys in SYSTEM\CurrentControlSet\Services\PCD61X2... Fri Nov 12 12:56:21 2004 => ERROR!!! Invalid Entry \??\Z:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI... Fri Nov 12 12:56:23 2004 => ERROR!!! Invalid Entry \??\Z:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS... Fri Nov 12 12:56:24 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\JENSME~1\LOKALE~1\Temp\PCD61X2.sys in SYSTEM\CurrentControlSet\Services\PCD61X2... Fri Nov 12 12:59:31 2004 => File C:\WINDOWS\System32\winamp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Wie bekomme ich dieses blöden Backdoor.Win32.Rbot.gen denn nun weg?? Ausserdem schreint escan immer 'removing' bei den invalid einträgen, aber wenn ich nochmal scanne, sind die immer noch da. Muss ich die manuell löschen?? Danke! |
@ vandura Zitat:
Im Falle von "Backdoor.Win32.Rbot.gen" kann ich Dir leider nur raten, Dein System zu formatieren und neu aufzusetzen, analog folgenden Hinweisen: Lutz: Datensicherung und Cidre: ein umfassender Rat. Dein System ist durch den Backdoor.Win32.Rbot.gen kompromittiert. Das bedeutet, dass jemand anderes Fremdzugriff auf Deinen Rechner haben kann. SD |
Oh je...komme ich um eine Neuinstallation wirklich nicht herum?? Wenn es eine Möglichkeit gäbe, eine Neuinstallation zu vermeiden, wäre ich für jeden Rat sehr dankbar. |
@ vandura, bist Du Laaie oder Computer-Experte? Wenn Du Experte bist, kannst Du versuchen, alle Registry-Schlüssel und Codes, die dieser Backdoor auf Deinem System hinterlassen hat, zu löschen. Wenn Du Laaie bist, solltest Du Dein System formatieren, da Du ansonsten davon ausgehen kannst, dass jemand anderes Zugriff auf Dein System hat und mitliest. SD |
Also ich denke schon, dass ich Experte bin. Nur leider weiss ich natürlich auswendig nicht, welche Einträge der Virus in der Registry vorgenommen hat. Wenn es da eine Anleitung/Hilfe gäbe, dann kann ich die Einträge selstverständlich löschen. Schonmal vielen Dank! |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board