Trojan-Proxy.Win32.Cimuz.bw
 

Ich benutze immo AntiVirGuard als Virenschutzprogramm und haben den Virus/Trojaner Trojan-Proxy.Win32.Cimuz.bw oder auch TR/Proxy.Cimuz.BW8 genannt auf meinen Rechner, das Problem an der ganzen Sache ist, dass sobald AntiVIr die Datei löscht, mein Internet nicht mehr geht. Die betroffenene Datei heisst übrigens: c:windows\system32\rsvp32_2.dll.
Was kann ich tun?

Bei HiJackThis passiert das gleich wenn ich die Datei fixe ... Danke schon einmal!

MfG Tim

Hallo.

Poste bitte ein Hijacklog, Anleitung dazu findest du in meiner Signatur verlinkt.

Zusätzlich solltest du deinem System einen eScan unterziehen, dieses bekommst du hier -> Anleitung eScan

Gruß
Sunny

Logfile of HijackThis v1.99.1
Scan saved at 13:46:01, on 21.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Xfire\xfire.exe
G:\Half Life 2\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm

R3 - URLSearchHook: (no name) - 3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [csvhost.exe] c:\windows\system32\csvhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164042351484

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Den Bericht von eScan kannst du dir sparen, das System ist als Kompromittiert anzusehen.

Grund:

Es wird dir nur eine Neuinstallation bleibern, eine andere Möglichkeit ist ausgeschlossen.
Beachte dazu den Link in meiner Signatur, er wird dir auch bei der zukünftigen Absicherung sehr hilfreich sein.

Gruß
Sunny

Ahhh bleibt mir wirklich keine andere Möglichkeit? Vll. Datei löschen und durch eine nicht infizierte ersetzen?

ich hatte das selbe problem, also auf einem nicht-infizierten system gibt es die datei "rsvp32_2.dll" garnicht(zumindest nicht auf meinem^^, auch nicht in den verstecken systemdateien ect...)

das problem ist aber auch, dass deine svchost.exe infiziert ist, du müsstest quasi alle dateien finden, in der die rsvp32_2.dll verankert ist, und diese mit "gesunden" dateien ersetzen - du kannst es ja mit einer gesunden svchost probieren, wenns geklappt hat sei froh(wobei ich mir relativ sicher bin, dass das problem nicht entgültig beseitigt ist).

ich mach's so: C:-platte mit windows und sonst NICHTS, und wenn irgend was falsch ist(virus oder trojaner) leg ich meine image-cd ein und in 10 minuten ist wieder wie, wenn ich gerade formatiert hätte nur, dass ich alle wichtigen daten noch hab

eine weitere möglichkeit wäre hier: http://www.cexx.org/lspfix.zip

dieses kleine tool säubert deinen systemordner von den dateien, die den LSP besetzen:
programm starten
häckchen bei "I know what I'm doing"
und fixen
pc rebooten, problem sollte weg sein

wenn du dann ganz sicher gehn willst, hol dir noch ewido(kostenlos) damit hab ich gute erfahrungen gemacht http://www.ewido.net/en/download/

-wie gesagt, bei dem LSPFIX kann es vorkommen, dass du dir dein system zerschießt, aber ich meine was hast du zu verlieren, der andere weg wär zu formatieren

mfg