Hallo und Hilfe !!!

Ich glaube ich bin von einer ganzen Armee von Würmern und Viren befallen. Da ich schon etwas die Seiten durchgeblättert habe, habe ich die SaveLog von HiJack schon mal kopiert.

Von sämtlichen Anti-Viren-Programmen ist nichts zu finden.

Den SDBot.13920 meldet AntiVir auch nicht mehr, aber ich bin der Meinung, daß hier etwas nicht stimmt. Wäre dankbar über Hilfestellung!

Hier die Log-Datei :

Logfile of HijackThis v1.98.2
Scan saved at 17:28:53, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sniffers.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\TM\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Sygate Personal Firewall] sniffers.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sniffers.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [IncrediMail] d:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Sygate Personal Firewall] sniffers.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 0179789281
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.pro-support.de/scan/Msie/bitdefender.cab

Übrigens habe ich KEINE Sygate Firewall installiert, obwohl ja mehrere Verweise darauf hin deuten ...


Vielen Dank im voraus für Deine / Eure Hilfe

Hallo@BBomber

W32/Rbot-MB verbreitet sich mit Hilfe verschiedener Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern, Schwachstellen in Betriebssystemen (darunter DCOM-RPC, LSASS, WebDAV und UPNP) sowie Backdoors aus, die von anderen Würmern und Trojanern hinterlassen wurden.
W32/Rbot-MB kann über IRC-Kanäle von einem remoten Angreifer gesteuert werden.
Patches für die Betriebssystemschwachstellen, die von W32/Rbot-MB ausgenutzt werden, stehen von Microsoft zur Verfügung unter:
http://www.microsoft.com/technet/securi ... 4-011.mspx
http://www.microsoft.com/technet/securi ... 3-039.mspx
http://www.microsoft.com/technet/securi ... 3-007.mspx
http://www.microsoft.com/technet/securi ... 1-059.mspx

_____________________________________________________

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

O4 - HKLM\..\Run: [Sygate Personal Firewall] sniffers.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] sniffers.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] sniffers.exe
neustarten

loesche:
<C:\WINDOWS\System32\sniffers.exe


deinstalliere deinen Virenscanner (unbedingt) und lade:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials?chapter=146481750

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und scanne.

dann poste das Log noch mal.

mfg
Nikita

Hallo und ein fettes Dankeschön !!!

Habe alles so gemacht, wie Du beschrieben hast und siehe da, es funktioniert wieder.

Werde diese Seite auf jeden Fall weiterempfehlen. So schnell hat noch niemand geholfen.

Thx for support !!!

BBomber

Hallo@BBomber

Koenntest du mal bitte im Scanlog vom Kaspersky nachschauen, was er noch geloescht hat und mir posten, denn ich kenne den Mutex vom Backdoor nicht.

mfg
Nikita