Hallo alle zusammen!

Der Wurm "Ider.A.Rkit" macht mir in den letzten ganz schön zu schaffen!

Jedes mal, wenn ich meinen Rechner reboote zeigt mir mein AntiVir PersonalEdition Classic (update auf dem neusten Stand) folgende Meldung an:

C:\WINDOWS\SYSTEM32\HP5CE0.TMP

Enthält Signatur des Wurmes WORM/Ider.A.Rkit

Darauf hin kann ich die betroffene Datei zwar löschen aber ich kann meinen Rechner nicht Immunisieren, sprich der Wurm ist bei jedem Reboot wieder mit von der Partie.

Hat jmd eine Idee, wie ich mir diesen lästigen Quälgeist vom Hals halten kann?
Wenn ja, wärs nett wenn hier jmd posten würde..

mfG pRiNcE_de_1st

Bitte so ein Log erstellen und posten.

Hier:

Logfile of HijackThis v1.99.1
Scan saved at 18:39:17, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
E:\ICQLite\ICQLite.exe

Das Log ist nicht vollständig!
Bitte nur vollständig posten!

Sry hier:

Logfile of HijackThis v1.99.1
Scan saved at 19:21:27, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
E:\ICQLite\ICQLite.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
E:\MOZILL~1\FIREFOX.EXE
E:\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Jan Scobel\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.the-pimps.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp6AFE.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

also ich habe keine Ahnung von solchen Dingen! ^^

Zitat:

C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe

Anscheinend hast Du den Trojaner Zlob installiert.
Bitte scan Deinen PC mal mit eScan genau nach dieser Anleitung von @Cidre.

@ pRiNcE_de_1st & cosinus
Für solche Infektionen haben wir einen Extra-Thread -> http://www.trojaner-board.de/showthread.php?t=21709


@pRiNcE_de_1st
Bevor du die Anleitung abarbeitest, solltest du die Datei C:\WINDOWS\SYSTEM32\HP5CE0.TMP auf http://virusscan.jotti.org/de überprüfen und das Ergebnis posten. Ein kurze Beschreibung dazu findest du hier (natürlich geht es bei dir nicht um die scvhost.exe ).

@ Haui:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

Mehr kommt da nicht!

Kopiere die Datei im abgesicherten Modus z.B. in einen von dir erstellten Ordner C:\Boese\
Benenne sie dann in HP5CE0.TMP.VIR um
Überprüfe diese Datei nach einem Neustart auf der o.g. Seite.

Tag auch.
Habe zwar nicht die grosse ahnung aber mir hat seit 1std das einfache
umbenehnen der "C:\WINDOWS\system32\nvctrl.exe" datei geholfen
Habe jetzt ruhe, hoffe es bleibt so

Zitat:

Zitat von inueG

Tag auch.
Habe zwar nicht die grosse ahnung aber mir hat seit 1std das einfache
umbenehnen der "C:\WINDOWS\system32\nvctrl.exe" datei geholfen
Habe jetzt ruhe, hoffe es bleibt so

Das ist ein äußerst blauäugiges Vorgehen und beseitigt keinesfalls die Infektion. Vielmehr solltet du den Thread zur Entfernung des Trojaners Smitfraud.c durcharbeiten.

Zitat:

Zitat von Haui45

Das ist ein äußerst blauäugiges Vorgehen und beseitigt keinesfalls die Infektion. Vielmehr solltet du den Thread zur Entfernung des Trojaners Smitfraud.c durcharbeiten.

Hatte auch nichts anderes behauptet, aber geholfen hat es nun mal
Es kommen keine meldungen mehr von antiVir outpost usw

Zitat:

Zitat von inueG

Es kommen keine meldungen mehr von antiVir outpost usw

Und das ändert genau was an der Gesamtsituation?
Meine "Schutzprogramme" melden nichts mehr und ich kann wieder beruhigt schlafen?

@ HAUI:

Die Datei "HP5CE0.TMP" existiert auf meinem Rechner nicht! oO

Zitat:

Zitat von pRiNcE_de_1st

Die Datei "HP5CE0.TMP" existiert auf meinem Rechner nicht! oO

Zitat:

Zitat von pRiNcE_de_1st

Jedes mal, wenn ich meinen Rechner reboote zeigt mir mein AntiVir PersonalEdition Classic (update auf dem neusten Stand) folgende Meldung an:

C:\WINDOWS\SYSTEM32\HP5CE0.TMP

Arbeite bitte den o.g. Thread durch un poste alle Logfiles (smitrem, HijackThis und eScan)