Hallo,
nachdem ich meinen Pc komplett neu installiert habe und mein Gmx Dsl wieder installiert habe, werden ständig Daten gesendet und die Verbindung ist sehr langsam, wenn ich online bin. Ich vermute da einen Trojaner oder Virus, kenne mich aber damit nicht wirklioch aus. Mein AV hat schon einige Viren, Würmer und einen Trojaner gelöscht, das Problem besteht aber auch weiterhin, wenn auch nicht mehr ganz so schlimm. Ich frage mich allerding wo die Viren herkommen, wenn man den Pc komplett formatiert und neu installiert hat? Wie auch immer, ich hab mal hijackthis runtergeladen und drüberlaufen lassen... Ich gehöre aber leider auch zu denen, die rein gar nichts mit der log anfangen können, deshalb poste ich sie mal und hoffe auf Hilfe.
Mit besten Grüßen
Die Log:
Logfile of HijackThis v1.97.7
Scan saved at 14:58:08, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\Windows-Update.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wapdate.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\crsss.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Dokumente und Einstellungen\Jan- Niklas\Desktop\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [win update] wapdate.exe
O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\snzgs.exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [Networks Configurator] NetConfs.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\txkve.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Windows Compliant] xvavls.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [win update] wapdate.exe
O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [Networks Configurator] NetConfs.exe
O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\RunServices: [Windows Compliant] xvavls.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [win update] wapdate.exe
O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Jan- Niklas\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\Run: [Windows Compliant] xvavls.exe
O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\RunOnce: [Win32 USB Driver] mvsecn.exe
O4 - HKCU\..\RunOnce: [Win32 USB Driver] mvsecn.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3FFA7A0-ECA1-43AA-9AB2-57B97286D1C9}: NameServer = 217.237.151.225 217.237.150.225
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Microsoft Services = "lssrv.exe" WORM_RBOT.CW
9 Beiträge • Seite 1 von 1
von Nikita am 26.10.2004, 16:16
Hallo@tamandua
So ein verseuchter PC ist mir schon lange nicht begegnet.....
Arbeite bitte alle Punkte Schritt fuer Schritt ab.
Dann poste das neue Log noch mal.
_____________________________________________________
Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html
1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5)Antivirus installieren
http://www.free-av.de/
6) Sygate free installieren
<Sygate (Deutsch)Firewall
http://www.sygate.de/
7.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren (Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren)
8.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/
------------------------------------------------------------------------------------
9)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
10)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
11)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
12) #AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
13) alles anhaken---protected
#Spywareblaster..UEBERWACHUNGSTOOL...ALLES AKTIVIEREN
http://www.javacoolsoftware.com/sbdownload.html
MfG
Nikita
So ein verseuchter PC ist mir schon lange nicht begegnet.....
Arbeite bitte alle Punkte Schritt fuer Schritt ab.
Dann poste das neue Log noch mal.
_____________________________________________________
Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html
1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/window ... rewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5)Antivirus installieren
http://www.free-av.de/
6) Sygate free installieren
<Sygate (Deutsch)Firewall
http://www.sygate.de/
7.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren (Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren)
8.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/
------------------------------------------------------------------------------------
9)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
10)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
11)TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
12) #AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.
13) alles anhaken---protected
#Spywareblaster..UEBERWACHUNGSTOOL...ALLES AKTIVIEREN
http://www.javacoolsoftware.com/sbdownload.html
MfG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von tamandua am 27.10.2004, 19:19
Hallo nikita,
erstmal Danke für die Hilfe, die Programme haben scheinbar ganz gute Arbeit geleistet, jedenfalls läuft das Internet wieder wie geschmiert.
Aber ich kann nicht beurteilen ob alles einigermaßen stimmt, deslahb nochmal:
LOG von heute:
Logfile of HijackThis v1.97.7
Scan saved at 19:16:03, on 27.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\crsss.exe
C:\WINDOWS\System32\Isass.exe
C:\l0ad.exe
C:\WINDOWS\System32\lssrv.exe
C:\WINDOWS\System32\msndp.exe
C:\bar.exe
C:\WINDOWS\System32\spoolsv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Jan Niklas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\Run: [suck] C:\l0ad.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [Msn Patch] msndp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\lnqtsib.exe
O4 - HKLM\..\Run: [wow] C:\bar.exe
O4 - HKLM\..\Run: [scvhost] spoolsv32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Msn Patch] msndp.exe
O4 - HKLM\..\RunServices: [scvhost] spoolsv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MicroSoft IE Sasser] Isass.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8873752640
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3EE5FB-E497-409F-8812-095DEAFEAA29}: NameServer = 217.237.151.225 217.237.150.225
erstmal Danke für die Hilfe, die Programme haben scheinbar ganz gute Arbeit geleistet, jedenfalls läuft das Internet wieder wie geschmiert.
Aber ich kann nicht beurteilen ob alles einigermaßen stimmt, deslahb nochmal:
LOG von heute:
Logfile of HijackThis v1.97.7
Scan saved at 19:16:03, on 27.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\crsss.exe
C:\WINDOWS\System32\Isass.exe
C:\l0ad.exe
C:\WINDOWS\System32\lssrv.exe
C:\WINDOWS\System32\msndp.exe
C:\bar.exe
C:\WINDOWS\System32\spoolsv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Jan Niklas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\Run: [suck] C:\l0ad.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [Msn Patch] msndp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\lnqtsib.exe
O4 - HKLM\..\Run: [wow] C:\bar.exe
O4 - HKLM\..\Run: [scvhost] spoolsv32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Msn Patch] msndp.exe
O4 - HKLM\..\RunServices: [scvhost] spoolsv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MicroSoft IE Sasser] Isass.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8873752640
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3EE5FB-E497-409F-8812-095DEAFEAA29}: NameServer = 217.237.151.225 217.237.150.225
- tamandua
- Beiträge: 6
- Registriert: 28.09.2004, 18:59
von Nikita am 27.10.2004, 20:23
Hallo, liebe Virenschleuder\tamandua 
Du bist eine Gefahr im Net !!!!!!!!!!!!
Dir muesste man den Computerbesitz verbieten !
__________________________________________________________________________________
Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Fixe mit dem HijackThis:
Scan <<anhaken <<fix<< neustarten
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\Run: [suck] C:\l0ad.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [Msn Patch] msndp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\lnqtsib.exe
O4 - HKLM\..\Run: [wow] C:\bar.exe
O4 - HKLM\..\Run: [scvhost] spoolsv32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Msn Patch] msndp.exe
O4 - HKLM\..\RunServices: [scvhost] spoolsv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MicroSoft IE Sasser] Isass.exe
neustarten
##Stinger
http://vil.nai.com/vil/stinger/
#Entfernungstool Korgo-Wurm:
http://securityresponse.symantec.com/av ... .tool.html
/FixKorgo.exe Download in der Mitte der Site suchen und laden
#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm
#DEINSTALLIERE den Antivirus , lade Kaspersky und scanne im abgesicherten Modus
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
Dann poste das Log noch mal.
mfg
Nikita
Du bist eine Gefahr im Net !!!!!!!!!!!!
Dir muesste man den Computerbesitz verbieten !
__________________________________________________________________________________
Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Fixe mit dem HijackThis:
Scan <<anhaken <<fix<< neustarten
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\Run: [suck] C:\l0ad.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [Msn Patch] msndp.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\lnqtsib.exe
O4 - HKLM\..\Run: [wow] C:\bar.exe
O4 - HKLM\..\Run: [scvhost] spoolsv32.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [MicroSoft IE Sasser] Isass.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Msn Patch] msndp.exe
O4 - HKLM\..\RunServices: [scvhost] spoolsv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MicroSoft IE Sasser] Isass.exe
neustarten
##Stinger
http://vil.nai.com/vil/stinger/
#Entfernungstool Korgo-Wurm:
http://securityresponse.symantec.com/av ... .tool.html
/FixKorgo.exe Download in der Mitte der Site suchen und laden
#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm
#DEINSTALLIERE den Antivirus , lade Kaspersky und scanne im abgesicherten Modus
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
Dann poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von tamandua am 28.10.2004, 12:44
Hallo Nikita,
nochmals vielen Dank, hier nun das neue LOG.
Ich hoffe das jetzt wieder mehr stimmt....ansonsten bin ich natürlich für jede weitere Hilfe dankbar
Logfile of HijackThis v1.97.7
Scan saved at 12:41:16, on 28.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Jan Niklas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8873752640
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3EE5FB-E497-409F-8812-095DEAFEAA29}: NameServer = 217.237.151.225 217.237.150.225
nochmals vielen Dank, hier nun das neue LOG.
Ich hoffe das jetzt wieder mehr stimmt....ansonsten bin ich natürlich für jede weitere Hilfe dankbar
Logfile of HijackThis v1.97.7
Scan saved at 12:41:16, on 28.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Jan Niklas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8873752640
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3EE5FB-E497-409F-8812-095DEAFEAA29}: NameServer = 217.237.151.225 217.237.150.225
- tamandua
- Beiträge: 6
- Registriert: 28.09.2004, 18:59
Microsoft Services = "lssrv.exe" WORM_RBOT.CW
von Nikita am 28.10.2004, 18:41
Hallo@tamandua
WORM_RBOT.CW
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
loesche:
Microsoft Services = "lssrv.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
LOESCHE:
Microsoft Services = "lssrv.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
loesche:
Microsoft Services = "lssrv.exe"
Gib ein in die Suchfunktion der Registry (oben links)
<LOSET
und loesche alles rechts in der Registry, was du findest.
Fixe mit dem HijackThis, dann PC neustarten(!)
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
neustarten
Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
suche und loesche:
<mutex : <LOSET<
<C:\WINDOWS\system32\LSSRV.EXE
#scanne noch mal mit Kaspersky und poste das neue Log.
#Mache ALLE WindowsUpdates
#Update Pack XP SP1 Version 1.8 - Deutsch
http://download.winboard.org/downloads. ... ase_id=649
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
MFG
Nikita
**
http://www.trendmicro.com/vinfo/virusen ... CW&VSect=T
WORM_RBOT.CW
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
loesche:
Microsoft Services = "lssrv.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
LOESCHE:
Microsoft Services = "lssrv.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
loesche:
Microsoft Services = "lssrv.exe"
Gib ein in die Suchfunktion der Registry (oben links)
<LOSET
und loesche alles rechts in der Registry, was du findest.
Fixe mit dem HijackThis, dann PC neustarten(!)
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
neustarten
Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
suche und loesche:
<mutex : <LOSET<
<C:\WINDOWS\system32\LSSRV.EXE
#scanne noch mal mit Kaspersky und poste das neue Log.
#Mache ALLE WindowsUpdates
#Update Pack XP SP1 Version 1.8 - Deutsch
http://download.winboard.org/downloads. ... ase_id=649
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
MFG
Nikita
**
http://www.trendmicro.com/vinfo/virusen ... CW&VSect=T
Zuletzt geändert von Nikita am 09.01.2005, 18:57, insgesamt 4-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von tamandua am 29.10.2004, 14:18
Hallo nikita,
nochmals vielen Dank.
Dieser Eintrag war nicht vorhanden:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
loesche:
Microsoft Services = "lssrv.exe"
Nach dem abarbeiten der beschriebenen Vorgänge sieht das LOG nun so aus:
Logfile of HijackThis v1.97.7
Scan saved at 14:18:10, on 29.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\TraXEx\TraXEx.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Jan Niklas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8873752640
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3EE5FB-E497-409F-8812-095DEAFEAA29}: NameServer = 217.237.151.225 217.237.150.225
Mfg
nochmals vielen Dank.
Dieser Eintrag war nicht vorhanden:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
loesche:
Microsoft Services = "lssrv.exe"
Nach dem abarbeiten der beschriebenen Vorgänge sieht das LOG nun so aus:
Logfile of HijackThis v1.97.7
Scan saved at 14:18:10, on 29.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\msiexec.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\TraXEx\TraXEx.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Jan Niklas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8873752640
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3EE5FB-E497-409F-8812-095DEAFEAA29}: NameServer = 217.237.151.225 217.237.150.225
Mfg
- tamandua
- Beiträge: 6
- Registriert: 28.09.2004, 18:59
von Nikita am 29.10.2004, 16:24
Hallo@tamandua
Frage:
Hast du den Mutex <LOSET< gefunden und geloescht?
Oder hat der Kaspersky den Backdoor geloescht ?
Vergiss nicht, dass der kaspersky nur eine Trialversion ist.
Es lohnt sich, ihn zu kaufen
Das Log ist nun sauber !!!!!! Ein Wunder !!!!!!!!
Vergiss auch nicht, die Wiederherstellung zu deaktivieren.
http://service1.symantec.com/SUPPORT/IN ... 7105707924
booten und wieder aktivieren
mfg
Nikita
Frage:
Hast du den Mutex <LOSET< gefunden und geloescht?
Oder hat der Kaspersky den Backdoor geloescht ?
Vergiss nicht, dass der kaspersky nur eine Trialversion ist.
Es lohnt sich, ihn zu kaufen
Das Log ist nun sauber !!!!!! Ein Wunder !!!!!!!!
Vergiss auch nicht, die Wiederherstellung zu deaktivieren.
http://service1.symantec.com/SUPPORT/IN ... 7105707924
booten und wieder aktivieren
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von tamandua am 29.10.2004, 20:48
Hallo nikita,
Kaspersky hat gute Arbeit geleistet, Backdoor wurde entfernt.
Ich bedanke mich hiermit noch einmal ganz herzlich für die Hilfe und werde sie weiterempfehlen. Ich selbst werde diese Hilfe hoffentlich nicht mehr benötigen .
Nochmals besten Dank und mit freundlichem Gruß,
tamandua
Kaspersky hat gute Arbeit geleistet, Backdoor wurde entfernt.
Ich bedanke mich hiermit noch einmal ganz herzlich für die Hilfe und werde sie weiterempfehlen. Ich selbst werde diese Hilfe hoffentlich nicht mehr benötigen
.
Nochmals besten Dank und mit freundlichem Gruß,
tamandua
- tamandua
- Beiträge: 6
- Registriert: 28.09.2004, 18:59
9 Beiträge • Seite 1 von 1
Ähnliche Themen
| Workshop zum Thema "Einbau einer zweiten Festplatte&quo Forum: Feedback Autor: YX2FLY Antworten: |
ICQ aus "Eigene Dateien" löschen Forum: Software-Hilfe Autor: pet58 Antworten: |
kann "DFÜ-Speed" einfach nicht herrunterladen Forum: Software-Hilfe Autor: maus Antworten: |
Fehlermeldung "Interner Zielgeräte Fehler" Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Lovsan/Blaster-Wurm mit falscher Microsoft-Adresse Forum: Online- und PC-Sicherheit Autor: Computerdirk Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste