Kann seit ein paar tagem meinen Task Manager nicht mehr öffnen immer nur für ne sekunde genauso läufts bei ausführen regedit!
Hab mal den log von Hijack This kopiert:


Kann mir jemand helfen???


Logfile of HijackThis v1.98.2
Scan saved at 13:50:27, on 07.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ndis.exe
C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\WinDriv32.exe
C:\WINDOWS\System32\WinSyst32.exe
C:\WINDOWS\System32\SVCHOSTSC.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\PREVX\Prevx Home\SAGUI.exe
C:\Programme\PREVX\Prevx Home\PXAgent.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [AC0D1780] C:\WINDOWS\System32\ugihztnkc.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\uptesqs.exe
O4 - HKLM\..\Run: [Olive System] C:\WINDOWS\System32\suchost.exe
O4 - HKLM\..\Run: [Virus Database Update] Ozcmd1.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe
O4 - HKLM\..\Run: [WinSyst32] C:\WINDOWS\System32\WinSyst32.exe
O4 - HKLM\..\Run: [Windows Config] SVCHOSTSC.EXE
O4 - HKLM\..\Run: [NDIS Adapter] ndis.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [D6F0D125] C:\WINDOWS\System32\ugihztnkc.exe
O4 - HKLM\..\RunServices: [Virus Database Update] Ozcmd1.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunOnce: [NDIS Adapter] ndis.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Virus Database Update] Ozcmd1.exe
O4 - HKCU\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe
O4 - HKCU\..\Run: [WinSyst32] C:\WINDOWS\System32\WinSyst32.exe
O4 - HKCU\..\Run: [NDIS Adapter] ndis.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [NDIS Adapter] ndis.exe
O4 - HKCU\..\RunOnce: [Windows Config] SVCHOSTSC.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Prevx Home.lnk = C:\Programme\PREVX\Prevx Home\SAGUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66


Liebe grüße Nicky

Hallo @Nickzipp

Dein PC ist voellig verseucht..und zerstort.
Es kann sein, dass nach der Reinigung nichts mehr korrekt funktioniert.
Denke mal ueber eine Neuinstallation nach.
___________________________________________________________________

Oeffne das HijackThis, scann, hake an, was ich schreibe und <fix<
dann neustarten

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [AC0D1780] C:\WINDOWS\System32\ugihztnkc.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\uptesqs.exe
O4 - HKLM\..\Run: [Olive System] C:\WINDOWS\System32\suchost.exe
O4 - HKLM\..\Run: [Virus Database Update] Ozcmd1.exe
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe
O4 - HKLM\..\Run: [WinSyst32] C:\WINDOWS\System32\WinSyst32.exe
O4 - HKLM\..\Run: [Windows Config] SVCHOSTSC.EXE
O4 - HKLM\..\Run: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [D6F0D125] C:\WINDOWS\System32\ugihztnkc.exe
O4 - HKLM\..\RunServices: [Virus Database Update] Ozcmd1.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunOnce: [NDIS Adapter] ndis.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Virus Database Update] Ozcmd1.exe
O4 - HKCU\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe
O4 - HKCU\..\Run: [WinSyst32] C:\WINDOWS\System32\WinSyst32.exe
O4 - HKCU\..\RunOnce: [Windows Config] SVCHOSTSC.EXE

neustarten

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren ->

#Gehe in die Registry
Start<Ausfuehren<regedit

Loesche die Entraege, falls sie noch da sind:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
loesche:
NDIS Adapter = "ndis.exe"

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunOnce
loesche:
NDIS Adapter = "ndis.exe"

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
loesche:
NDIS Adapter = "ndis.exe"

HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
loesche:
NDIS Adapter = "ndis.exe"

HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>RunOnce
loesche:
NDIS Adapter = "ndis.exe"

HKEY_USERS>.DEFAULT>Software>Microsoft>
Windows>CurrentVersion>Run
loesche:
NDIS Adapter = "ndis.exe"

HKEY_USERS>.DEFAULT>Software>Microsoft>
Windows>CurrentVersion>RunOnce
loesche:
NDIS Adapter = "ndis.exe"

loesche:
HKEY_LOCAL_MACHINE>System>CurrentControlSet>
Services>NDIS TCP Layer Transport Device

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#Loesche:
C:\WINDOWS\wuamgrd.exe und Protokolldatei \debug.txt.
C:\WINDOWS\System32\ndis.exe
C:\WINDOWS\System32\WinDriv32.exe
C:\WINDOWS\System32\WinSyst32.exe
C:\WINDOWS\System32\Ozcmd1.exe
C:\WINDOWS\System32\ugihztnkc.exe
C:\<Windows>\MSTO32.DLL
C:\WINDOWS\svchost.exe [aufpassen :: nicht mit der korrekten C:\WINDOWS\system32\svchost.exe von Windows verwechseln !!!!!!!!!!!!)
C:\<Windows>\SYSINI.INI
C:\<Windows>\wingua_.EXE

#Stinger
http://vil.nai.com/vil/stinger/

#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

#Testversion "F-Secure Internet Security 2005"(deaktiviere vorher deinen Virenscanner, oder am Besten deinstallieren...er ist zerstort)
http://esd.element5.com/demoreg.html?pr ... e39bc82919

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

#und scanne dann noch mal im Normalmodus

#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

und poste das neue Log vom HijackThis


mfg
Nikita

http://www.sophos.de/virusinfo/analyses/w32rbota.html
http://de.trendmicro-europe.com/enterpr ... M_SDBOT.VF
http://www.sophos.de/virusinfo/analyses ... fgero.html

Vielen dank nikita hat zwar nicht alles funktioniert aber ich kann mittlerweile meinen Task Manager wieder öffnen und die ganzen Fehlermeldungen sind auch verschwunden.

Hier die neue Log von Hijack This:

Logfile of HijackThis v1.98.2
Scan saved at 15:49:45, on 07.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\WINDOWS\System32\WinDriv32.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\PREVX\Prevx Home\SAGUI.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\PREVX\Prevx Home\PXAgent.exe
C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Prevx Home.lnk = C:\Programme\PREVX\Prevx Home\SAGUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66

Weiß gar nicht wie ich dir danken kann für deine schnelle Antwort und deine Hilfe. Vielen vielen Dank!!!

Hallo @Nickzipp

Troj/Small-BA\Mydoom.t is a proxy Trojan for the Windows platform. Troj/Small-BA allows a malicious user to route information through an infected computer.

windrv32.exe Mydoom.t is an Internet worm that spreads via an email attachment.
This Mydoom variant spreads by connecting directly to potential victim SMTP servers by constructing SMTP server names based on domain names it harvests from the infected machine.
Also contains a downloader function that attempts to download Backdoor.Win32.Surila from the following sites:
*http://vugs.geog.uu.nl
*http://www.ach.ch
*http://www.hiw.kuleuven.ac.be
*http://www.llc.unibo.it
*http://www.mercyships.de
*http://www.planetboredom.net
*http://www.surrenderzeeland.nl
______________________________________________________

Fixe:

O4 - HKLM\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe
O4 - HKCU\..\Run: [WinDriv32] C:\WINDOWS\System32\WinDriv32.exe

neustarten

Loesche:
C:\WINDOWS\System32\WinDriv32.exe [Troj/Small-BA]

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
http://www.trojaner-info.de/hijacker/escan.shtml
die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Datien im abgesicherten Modus loeschen. Auch muss man die Eintraege in der Registrierung per Hand entfernen

und das neue Log vom HijackThis noch mal posten.

mfg
Nikita

http://www.sophos.com/virusinfo/analyse ... allba.html
http://www.greatis.com/appdata/dw.htm#windriv32.exe

huhu,

hab alles gemacht wie dus mir beschrieben hast bis auf ..."per Hand auch in der Registrierung entfernen".....vielen vielen dank und hier nochmal mein Neuster Hijack This:


Logfile of HijackThis v1.98.2
Scan saved at 22:46:51, on 07.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\PREVX\Prevx Home\SAGUI.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\PREVX\Prevx Home\PXAgent.exe
C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Admin\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Prevx Home.lnk = C:\Programme\PREVX\Prevx Home\SAGUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66

was ich dich noch fragen wollte ...ist es schlimm wenn im task manager diese isass.exe bei den prozessen dabei ist?

Danke danke danke

Hallo @Nickzipp

Deaktivieren Wiederherstellung (dann wieder aktivieren)
XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.

Vorsorge:
#TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
13)#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

Nun mache bitte die Windowsupdates.
www.windowsupdate.com besuchen und alle Updates installieren

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6

# den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
Thunderbird Mail
http://www.mozilla.org/products/firefox ... 01.0PR.exe
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox ... 01.0PR.exe
Opera
http://www.opera7.de/

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

#Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.

#PC-Selbsttest (poste, wenn es was ungewoehnlices ergibt)
http://check.lfd.niedersachsen.de/start.php

Dann poste das Log noch mal.

mfg
Nikita

juhu

ich weiß gar nicht was ich ohne dich gemacht hätte! Schmatz

Sieht doch gar nicht mehr so schlecht aus oder?

bist ein schatz!!!! Daaaaanke



Logfile of HijackThis v1.98.2
Scan saved at 00:02:35, on 08.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\PREVX\Prevx Home\PXAgent.exe
C:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\PREVX\Prevx Home\SAGUI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Admin\LOKALE~1\Temp\mwavscan.com" /s
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Prevx Home.lnk = C:\Programme\PREVX\Prevx Home\SAGUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{47C3E1AF-9AC5-4BD1-AF33-F1DCBB7C0388}: NameServer = 62.27.27.62 62.27.53.66

Hallo@Nickzipp

Das Log ist sauber

#PC-Selbsttest (poste, wenn es was ungewoehnliches ergibt)
http://check.lfd.niedersachsen.de/start.php

mfg
Nikita

JA JA JA JA JA JA JA

Vielen lieben Dank!

Weiß gar nicht was ich ohne dich gemacht hätte!!!

so ich hab ungefähr das gleiche problem wie Nickzipp...hier das hijackthis log:


ogfile of HijackThis v1.98.2
Scan saved at 16:00:22, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\nvsvr32.exe
C:\WINDOWS\nvsvr32.exe
C:\WINDOWS\system32\ntchmgr.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\system32\winsys32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\nvsvr32.exe
C:\WINDOWS\nvsvr32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system\ntchmgr.exe
C:\WINDOWS\system32\msconfig.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b28578.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CFA8C03-D0EC-4056-9DA5-B1F4CA840EA5}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA615296-5714-4141-9B5A-58D8BE0CB630}: NameServer = 212.18.3.5 212.18.0.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC9CE1BC-C1B9-4898-8A0F-EF010FB76E8D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CFA8C03-D0EC-4056-9DA5-B1F4CA840EA5}: NameServer = 192.168.0.1



ich weiss nicht was ntchmdr für ne exe ist aber sie startet immer 2 mal wenn ich neustart mache...ausserdem msconfig.mein pc fährt auch immer runter wann er will(wenn ich online spiele)wenn ich offline bleibe passiert garnichts.dann sagt mir manchmal mein antivirus prog(kaspersky) das es selbt ein virus ist...(der webupdater) nuja ist mein pc jetzt putt und muss ich alles neu draufpacken?danke schonmal im vorraus!
greetz

(hab die edit funktion ned gefunden...sry)
ahja und mein online portscan und ausserdem der retina scan zeigt mir das die folgenden ports offen sind(tortz kerio firewall):


epmap 135

microsoft-ds 445

blackjack 1025

ich weiss das blackjack ein virus ist was aber nicht wirklich sein kann da ich alle möglichen progs laufen lasse...(a²scanner ad-aware kaspersky)

edit: omg jetzt hab ichs gefunden...
mein pc schaltet sich ab und zu auch mit diesem remoteprozedur bla aus...glaub das war blaster oder sasser hab beide fix tools durhclaufen lassen und gepatched hat aber nix gebracht....

Hallo @Funny

Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Gehe in den abgesicherten Modus (mit Internet)
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Deaktiviere im Taskmanager:...sie duerfen nicht aktiv sein
C:\WINDOWS\nvsvr32.exe
C:\WINDOWS\nvsvr32.exe
C:\WINDOWS\system32\ntchmgr.exe
C:\WINDOWS\system32\winsys32.exe [Backdoor.Agobot.HN]
C:\WINDOWS\nvsvr32.exe
C:\WINDOWS\nvsvr32.exe
C:\WINDOWS\system\ntchmgr.exe

Bearbeiten der Registrierungseinträge:
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Config Loadr
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Config Loadr

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.

Bevor du alles diese exe loescht, ueberpruefe sie, damit wir wissen, womit wir es zu tun haben: (Poste mir das Ergebnis !)
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
<C:\WINDOWS\nvsvr32.exe
<C:\WINDOWS\system\ntchmgr.exe
<C:\WINDOWS\system32\winsys32.exe

Nun loesche alle diese Exe.

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei

_________________________________________________________

#scanne mit "Antivirus Personal 5.0"(du hast den Kaspersky geladen)

#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pests ... pscanca%20

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

Dann poste das neue Log noch mal.

mfg
Nikita

http://www.datencrash24.de/virus-backdo ... virus.html
http://securityresponse.symantec.com/av ... givip.html

ok in der registry sind diese einträge nicht vorhanden ebensowenig werden die exes im abgesicherten modus gestartet
jetzt zu jottis malware scan:
bei C:\WINDOWS\nvsvr32.exe :
File: nvsvr32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (1.22 seconds taken)
Avast
No viruses found (4.56 seconds taken)
BitDefender
No viruses found (2.72 seconds taken)
ClamAV
No viruses found (6.76 seconds taken)
Dr.Web
No viruses found (4.54 seconds taken)
F-Prot Antivirus
No viruses found (0.36 seconds taken)
Kaspersky Anti-Virus
not-a-virus:RiskWare.Tool.ServiceRunner.b (4.50 seconds taken)
mks_vir
No viruses found (1.38 seconds taken)
NOD32
No viruses found (2.27 seconds taken)
Norman Virus Control
No viruses found (2.85 seconds taken)

(2 mal gescannt weils noch lief)


bei ntchmgr.exe:

File: ntchmgr.exe
Status:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX

AntiVir
No viruses found (1.27 seconds taken)
Avast
No viruses found (4.56 seconds taken)
BitDefender
No viruses found (5.92 seconds taken)
ClamAV
No viruses found (7.64 seconds taken)
Dr.Web
No viruses found (4.27 seconds taken)
F-Prot Antivirus
No viruses found (0.54 seconds taken)
Kaspersky Anti-Virus
No viruses found (4.31 seconds taken)
mks_vir
No viruses found (2.18 seconds taken)
NOD32
No viruses found (2.90 seconds taken)
Norman Virus Control
No viruses found (10.50 seconds taken)



bei
C:\WINDOWS\system32\winsys32.exe :

die hat mein virenscanner gelöscht....läuft nichtmehr und gibts nichtmehr

jetzt das hijackthislog mit den modifikationen:

Logfile of HijackThis v1.98.2
Scan saved at 18:52:11, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b28578.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CFA8C03-D0EC-4056-9DA5-B1F4CA840EA5}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA615296-5714-4141-9B5A-58D8BE0CB630}: NameServer = 212.18.3.5 212.18.0.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC9CE1BC-C1B9-4898-8A0F-EF010FB76E8D}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CFA8C03-D0EC-4056-9DA5-B1F4CA840EA5}: NameServer = 192.168.0.1

dann hab ich die exes gelöscht und mit e trust gescannt...mcafee ging nicht..

edit: ahja svchosting wurd vom antivirus auch geklöscht

edit2: ahja hab kaspeersky runtergehaun udn jetzt bitdefender drauf...der kaspersky war mir zu supsekt(selbst von viren verseucht zu sein...)
edit3: hab die 2 suspicious einträge gelöscht. hab auf http://www.hijackthis.de/index.php
das log analysieren lassen und die 2 svchosting einträge fixen lassen

up...

Hallo @Funny

W32/Forbot-S

This worm also steals the Windows Product ID
Wenn also spaeter mal deine xdkey nicht mehr gueltig ist, weisst du warum

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus
# Wird für DOS-Attacken verwendet
W32/Forbot-S verbreitet sich auf Netzwerkfreigaben und indem er die LSASS-Schwachstelle (MS04-011) sowie Backdoors, die von anderer Malware hinterlassen wurde, ausnutzt.

Wenn er ausgeführt wird, kopiert sich W32/Forbot-S als scvhosting.exe in den Windows-Systemordner.

Die Backdoor-Komponente des Wurms ermöglicht einem remoten Angreifer unbefugten Zugriff auf den infizierten Computer.

STart<Ausfuehren<regedit:
Loesche rechts folgende Eintraege:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
starter = "scvhosting.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Runonce
starter = "scvhosting.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
starter = "scvhosting.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
starter = "scvhosting.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
starter = "scvhosting.exe"

This worm sets itself as a service by creating the following registry keys:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_PROTECTOR

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\Protector

schliesse die Registry,

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Suche einen Dienst: Protector und stoppe und deaktiviere ihn !!!

starte den PC (gehe in den abgesicherten Modus), aber vorher fixe mit dem HijackThis:
Fixe (und deaktiviere im Taskmanager)
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe

neustarten

#Deaktiviere die Wiederherstellung und scanne mit Antivirus im abgesicherten Modus.

mfg
Nikita