Von Registrierungseinträgen,Nachrichtendiensten und plötzlichen Abstürzen
 

Liebes trojaner-info.de-foren team!

Mein Windows spielt verrückt und ich glaube hier finde ich hilfe.

Der PC wurde vor einiger Zeit formatiert und ich habe gleich die firewall : ZoneAlarm installiert und hatte keine Probleme.


Doch konnte ich aufgrund der firewall manche Seiten nicht besuchen,deshalb habe ich die abgeschaltet, da gings los...

Nachrichtendienst, irgendwas von virus und update (da war ein tag vor den ferien, deshalb habe ich die seite nicht beuscht, die angezeigt wurde...)

dann kam die meldung in der man noch eine minute zeit hat bevor der pc herunterfährt, dies ist glücklicherweise kein Problem für mich, dank

shutdown -a

----------------

Seit einiger Zeit plagen mich außerdem falsche Registrierungseinträge,
angefangen jat es mit einem icq-eintrag, egal was ich wählte (ob neuen registrierungseintrag übernehmen oder abbrechen wurde ich immer wieder gefragt.

da es sich da um icq handelte, was ich nicht so ängstlich, doch nun kommt die gleiche meldung (neuer registrierungseintrag) mit dem einträgen:

ff nbw.exe HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion

dieser eintrag erscheint 3-mal in den unterordnern:

-Run
-RunService
-Run
----------------------------------------------------------------------

Die ganz oben dargestellten probleme tauchen nicht auf solange ich die firewall an habe, schalte ich sie jedoch aus kommen nachrichtendienste von wegen laden sie das uns das, was mich 20E kosten würde 0o

und eben wieder der system-herrunterfahr prozess


habe ich die firewall an plagen mich trotzdem die neue einträge ff aber ICQ nichtmehr.

Die Firewall hat mich gefragt was es damit machen soll, da habe ich auf deny geklickt,


könnt ihr mir helfen diese Probleme zu beseitigen?
-Bitte keine neue formatirung

@Ritchey
Eine Firewall, im so mehr - ZA, erhöht die Sicherheit nicht. BTW: Hast du auch alle Microsoft Updates und SPs installiert?
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.
Das wird deine freie Entscheidung. Ich verspreche, ich komme mit einem Maschinengewehr auf dich nicht zu ;):

habe ich eben nicht installiert =/

danke wegen dem maschinengewehr ^^

____________

Die Seite von hijackthis kann nicht gefunden werdne (hatte ja erzählt, einige seiten werden geblocjkt)

soll ich die fireall ausmachen=

Hijackthis
 

Huch ging das schnell und is kurz ^^ (sry für doppelpost =) )
hier die log:

Logfile of HijackThis v1.99.1
Scan saved at 09:25:43, on 29.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nbw.exe
C:\Programme\Internet\ZoneAlarm\zlclient.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\Standard\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Internet\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ff] nbw.exe
O4 - HKLM\..\RunServices: [ff] nbw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ff] nbw.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SmartSurfer.lnk = C:\Programme\Internet\Zugangssoftware\SmartSurfer2.31\SmartSurfer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O16 - DPF: Win32 Classes -
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

Hallo Ritchey,
Verständlich, denn dein System ist nicht up to date und somit für alle Malware 'offen', die sich bei dir einnisten will und das auch schon getan hat.
Hier ist der Verantwortliche, vermutlich ist noch weitere Malware zu finden. Führe deshalbeScan AntiVirus im abgesicherten Modus aus und poste uns die Virus Log Information.

eScan
 

Argh also das mit dem ungescützen system hab ich mir gedacht....
ich hab jetzt eScan laufen lassen aber irgendwie gabs keine mwav.exe also hab ich die mwavscan.exe einfach angeklcikt, wichtig is doch der scan oder?

Nachdem es ziemlich lange gescannt hatte wars dann plötzlich weg (vlt bin ich aufs rote kreuz gekommen) oder er war fertig, die find.bat hat allerdings nicht funktioniert (habe aber auch n anderes verzeichnis gewählt...)
hier eine log die ich für gebrauchbar halte:

[msvLclnt.dll] [0x000006cc] 29/05/2005 11:51:47:082 :ModuleName = C:\Dokumente und Einstellungen\Standard\Eigene Dateien\mwav-1\mwavscan.com
[msvLclnt.dll] [0x000006cc] 29/05/2005 11:51:47:092 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x000006cc] 29/05/2005 11:51:49:755 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000006cc] 29/05/2005 11:51:49:755 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000006cc] 29/05/2005 11:51:49:755 :TimeOut : ffffffff
[msvLclnt.dll] [0x000006cc] 29/05/2005 11:51:49:755 :Priority : NORMAL
[msvLclnt.dll] [0x000006cc] 29/05/2005 11:52:05:478 :VirusCount = 131890 Latest Date = 2005/05/27
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:52:45:936 :[00000001] File C:\WINDOWS\System32\nbw.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:52:57:873 :[00000001] File C:\WINDOWS\system32\Explorer.exe infected by Backdoor.Win32.PoeBot.b
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:52:59:916 :[00000001] File C:\WINDOWS\system32\nbw.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:55:56:490 :[00000001] File C:\WINDOWS\System32\ULCDRSF.exe infected by Backdoor.Win32.Codbot.s
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:55:56:721 :[00000001] File C:\WINDOWS\System32\txthil.exe infected by Backdoor.Win32.PoeBot.b
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:55:58:543 :[00000001] File C:\WINDOWS\System32\221.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:55:59:234 :[00000001] File C:\WINDOWS\System32\TFTP1680 infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:56:01:878 :[00000001] File C:\WINDOWS\System32\uwa.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 11:56:04:522 :[00000001] File C:\WINDOWS\System32\i infected by Trojan-Downloader.BAT.Ftp.ab
[msvLclnt.dll] [0x000007e8] 29/05/2005 12:07:00:475 :[00000001] File C:\WINDOWS\SYSTEM32\ULCDRSF.exe infected by Backdoor.Win32.Codbot.s
[msvLclnt.dll] [0x000007e8] 29/05/2005 12:07:00:755 :[00000001] File C:\WINDOWS\SYSTEM32\txthil.exe infected by Backdoor.Win32.PoeBot.b
[msvLclnt.dll] [0x000007e8] 29/05/2005 12:07:02:548 :[00000001] File C:\WINDOWS\SYSTEM32\221.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 12:07:03:049 :[00000001] File C:\WINDOWS\SYSTEM32\TFTP1680 infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 12:07:05:452 :[00000001] File C:\WINDOWS\SYSTEM32\uwa.exe infected by Backdoor.Win32.Rbot.gen
[msvLclnt.dll] [0x000007e8] 29/05/2005 12:07:08:717 :[00000001] File C:\WINDOWS\SYSTEM32\i infected by Trojan-Downloader.BAT.Ftp.ab

@Ritchey
Ein Traum für einen Backdoor-Sammler. Bitte ASAP der Anleitung zum Neuaufsetzen (Link in meiner Signatur) punktgenau folgen.

Oh man mir geht's grad richtig schlecht...wenn ich sehe wieviel arbeit das wieder ist...

Ich habe 2 Partitionen, C: und D: auf D: befinden sich atm nur Spiele, müsste ich allso zB dort einen Backup ordner erstellen wo alles reinkommt?

Verstehe ich das richtig, das system wiederaufsetzung das gleiche ist wie den pc in den ausliefrungszustand versetzen?


Dann müsste ich nämlich windows xp neuinstallieren....was brauche ich alles für windows updates? und wo bekomme ich die her?

Das siehst du vollkommen richtig. Ja oder sofern du über eine Recovery CD verfügst, dann diese einsetzen. Steht alles in der Anleitung, die von Rene-gad empfohlen wurde. ;)

so ich mache das jetzt so:

Ich chekce welche Programme installiert sind und besorge mir ne install.exe die ich auf D speicher.

meine persönlichen daten speicher ich auch auf D

mein freund brennt mir servicepack I und II auf cd sowie das neuste update, jetzt hab ich aber noch ne frage zu sp II:

Ich hab ein nicht ganz legales windows ^^ und habe außerdem gehört, das sp II viele probleme verursacht , wie siehts damit aus?


Wegen der system wieder aufsetzung: was für eine cd brauche ich da, wie heißt die?

Ich weiß nicht, was daran so lustig ist...
Wenn du keine originale Win XP CD besitzt bzw. über dessen Lizenz verfügst, dann hat sich das Thema eh erledigt!

Alternativen:
Entweder ersteres rechtmäßig erwerben oder auf die kostenlosen Open Source Betriebssysteme umsteigen.

lustig is garnichts daran, wohl eher peinlich.

aber da ich mir im september einen neue pc besorge lohnt sich kein neues win xp zu kaufen zumal das auch noch scheiße teuer is, ich finde es traurig, das ihr mir jetzt nicht mehr weiterhelfen könnt, so geht es doch um die beseitigung von viren und nicht solchen sachen...

Akzeptiert, aber dann halte diesen kompromittierten PC solange vom Netz fern.
Natürlich, aber wenn du keine legale XP Version hast, dann ich auch die Diskussion darüber sinnlos, weil du diese Versionen eben nicht aktualisieren kannst.
Aus rechtlicher Sicht ist das ganze schon sehr bedenklich und aus moralischer Sicht imo ebenso.
Durch den Einsatz deiner gecrackten Version trägst du aktiv dazu bei, daß sich die Malware ungehindert weiterverbreiten oder dein 'Zombie System' für andere illegale Zwecke mißbraucht werden kann.

Denk' mal drüber nach.

Also ich denke ich werde jetzt langsam mal anfangen eben recovery und so weit updaten wie möglich...dann bleibt mir ein arbeiten möglich und wenn ich den neuen pc hab is alles sowieso klar =)