Help
 

Hi hab vor kurzem schon mal was hier gepostet,
wollte escan im abgesicherten modus starten, abgesicherter modus funktioniert bei mir mit f8 nicht, hab dann in windows auf abgesicherten modus umgestellt, hat auch einmal funktioniert, beim 2ten mal ist er beim hochfahren abgestürzt. Nun hatte ich ein problem, da windows nicht mehr normal hochfahren konnte und im abgesicherten modus über f8 ging auch nicht mehr. lange rede kurzer sinn, jetzt hab ich windows neu installiert, bin ins inet und wollte mir paar updates saugen, und hatte schwupp die wupp gleich nen neuen bot drauf.
den hab ich jetzt mir antivir gelöscht. trotzdem scheint sich trotz kerio firewall die ganze zeit jemand aulf meinen rechner zu hacken, da meine übertragungsrate irgendwann plötzlich voll ausgelastet ist. dann wird Ausgehende verbindung: trivial file transfer protocol app gestartet und dann stürtzt kurz darauf mein rechner ab.
zusätzlich hab ich angeblich im windows/system32 ordner eine datei msaol32.exe die angeblich der aol messenger ist (laut hijacker). sie ist die ganze zeit aktiv, jedoch befindet sich diese datei gar nicht dort und lässt sich mit suchen auch nicht ausfindig machen.
I need help. kann den ganzen scheiß nicht nochmal installieren.
Thx

John

hab mir mal das transfer protocoll aufgeschrieben.
transfer protocoll: p54A1318A.dip.t-dialin.net[84.161.49.138],port tftp [69]
hört sich nicht gut an oder?
Hier trotzdem noch zusätzlich das hijack protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 20:46:32, on 10.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe
D:\Programme\Synaptics\SynTP\SynTPLpr.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\TraXEx\TraXEx.exe
D:\WINDOWS\System32\taskmgr.exe
D:\Programme\Opera\opera.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] D:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Systemboot] msnsngr.exe
O4 - HKLM\..\RunServices: [Systemboot] msnsngr.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Systemboot] msnsngr.exe
O4 - Global Startup: TraXEx 3.0.lnk = D:\Programme\TraXEx\TraXEx.exe
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - D:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - D:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113073227390
O17 - HKLM\System\CCS\Services\Tcpip\..\{71EFDCC9-C591-4FD7-8EDA-4A0339CE9224}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{71EFDCC9-C591-4FD7-8EDA-4A0339CE9224}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

Hallo,

der Link in meiner Signatur (Wie poste ich falsch!) dürfte dich zunächst einmal brennend interessieren!

Ist eine Rbot Variante, d.h. ein Wurm mit Backdoor Funktionalität, siehe http://www3.ca.com/securityadvisor/v....aspx?id=39437.

Wenn diese Datei noch vorhanden ist, dann überprüfe sie bei http://virusscan.jotti.org/de und poste das Ergebnis. Es dürfte sich aber auch um eine Bot Variante handeln.

Meine Empfehlung lautet zur deiner eigenen Sicherheit, dass dein System neu aufgesetzt werden sollte, siehe Signatur.

Damit magst du recht haben sorry, aber ich bin hier zeitlich wirklich kurz angebunden bis mein system wieder abstürtzt, deshalb hab ich keine zeit für große worte.
sorry

john

Datei ist nicht mehr da