Hallo,

Zitat:

Zitat von amadarius

Kann man diese Dateien überhaupt selbst finden und beseitigen? Den Pfad C:\System Volume Information\ gibts doch so gar nicht?

Das ist die Systemwiederherstellung...diese Deaktivieren, Rechner Neustarten und wieder Aktivieren...dann ist das weg!

Aber bei dem, was da ist....hab mir das LOG jetzt net angeschaut aber da solltest wohl mal die XP D raus suchen!
Schau mal...dazu dann mehr!


Gruß Mellosun

EDIT:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Also, Platt machen das teil.....SP2 gibts seit zwei Jahren und 90..nein, gestern war Patchday es müssten jetzt 92 Updates sein...alles fehlt bei Dir!
Folge dem link zum Neuaufsetzen in meiner SIG! Befolge Ihn und spiele SP2 auf!

*gut dann halt hier'*

Hallo,

um die schadhaften Dateien, welche Antivir gemeldet hat, zu löschen, gehe wie folgt vor:

1.) Deaktiviere die Systemwiederherstellung

2.) Starte jetzt in den abgesicherten Modus, deinstalliere über Start->Systemsteuerung->Software: NEED2FIND BAR
(und lösche danach den gesamten Ordner=

Zitat:

C:\Programme\Need2Find

3.) Fixe dann mit HijackThis folgende Einträge: (immer noch im abgesicherten Modus!)

Zitat:

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

4.) Starte nun das System neu, und poste ein neues Hijacklog!

Gruß
Sunny

Hy Daniel,

mal blöd Frag....

Sachen die in der Systemwiederherstellung liegen/sind...sollten doch mal auf dem Rechner gewesen sein?
Da sind doch Backdoors bei....oder wie muss ich mir das Vorstellen?


Gruß Mellosun......der Unwissende aber Lernende!

Hi,

danke für Eure Hilfe. Ich habe jetzt "Need2Find..." im abgesicherten Modus deinstalliert sowie die genannten Einträge durch HijackThis gefixed. Habe auch die Prozedur mit dem Abschalten der Systemwiederherstellung durchgeführt und AntiVir laufen gelassen, der nix gefunden hat. Das System ist aber immer noch so lam wie vorher.
Hatte vor der ersten logfile im msconfig einige Prozesse und Dienste ausgeschaltet gehabt, die ich für schadhaft hielt. Hab sie jetzt mal wieder aktiviert, damit ihr Euch selbst einen Eindruck verschaffen könnt. (Reicht es, wenn man schadhafte Dienste/Dateien auf diese Weise den Zugriff verweigert?). Hier meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:16:22, on 14.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\tune up\MemOptimizer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\tune up\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158266641318
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157288264222
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe (file missing)
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Könntet ihr mir bitte bitte noch mal sagen, was ich jetzt noch fixen könnte/sollte.

Habe auch mal probeweise versucht, Windows upzudaten. Hat aber nicht funktioniert. Irgend ein Problem mit dem Web.

Gruß
amadarius

Guten Morgen,

leider waren/sind bei Dir einige Würmer/Trojaner auf dem System gewesen, die sogenannte Backdoor Eigenschaften haben.

z.B.

C:\WINDOWS\k4nv.exe (file missing)
C:\WINDOWS\netconf32.exe (file missing)
C:\WINDOWS\win32host.exe (file missing)
C:\WINDOWS\win32ssr.exe (file missing)

Klick .

Dies wiederrum heißt, das Dir niemand sagen kann, was an Deinem PC geändert wurde.
Es bleibt Dir nur die Neuinstallation von XP!
Ein Grund für die Infektion war sicherlich Dein Ungepatchtes System.

Installiere XP Neu, spiele SP2 ein und sämtliche Updates.
Befolge dazu, die Anleitung zum Neuaufsetzen in meiner SIG, und zwar Punkt für Punkt! Da kannst du auch nochmal nachlesen, warum dies die einzige möglichkeit ist!


Gruß Mellosun

Wie Mellosun schon geschrieben hat, eine Neuinstallation ist unumgänglich!

Was mich nur wundert, das innerhalb von nicht mal 7 Stunden dein System von "harmlos" verseucht auf kompromitiert "gesprungen" ist!
Da dein erstes Hijacklog keinerlei Backdoorprogramme gezeigt hat, und beim 2.ten plötzlich diese welche vorhanden waren/sind!

Zusätzlich solltest du dein Surfverhalten überdenken, sonst sieht dein System spätestens in ein paar Stunden genauso aus und glaube nicht das dir dann hier noch jemand hilft

Gruß
Sunny

Der "Sprung" kam dadurch zustande, dass ich bei der ersten HiJackLogfile bestimmten Prozesse/Dateien unter msconfig bzw. durch einen StartUp-Manager das Starten bzw. Ausführen untersagt habe. Beim 2.Logfile habe ich sie wieder erlaubt.

O.k. dann werde ich mal versuchen das System neu aufzusetzen. Danke soweit für Euer Hilfe.

Gruß
amadarius