Hallo,
meine Tochter hat bei einem ziemlich lahmgelegten System Windows 2000 Professional mit Antivir Folgendes gefunden:
a.)
C:\WINNT\SYSTEM32\WINHLPP32.EXE
Enthält Code des Wurmes Worm/Agobot.136218
Meldung taucht immer wieder auf mit verschiedenen Nummern
b.)
das Archiv mit infizierten Dateien
C:\WINNT\SYSTEM32\nscqdw.exe
Worm/sdbot 44128
Meldung taucht immer wieder auf mit verschiedenen Nummern
c.)
das Archiv mit infizierten Dateien
C:\WINNT\SYSTEM32\mstoolbar.exe
Tr-proxy.ranky.ap

Alle drei können nicht gelöscht werden da in Archiven.
Die fehlenden Microsoft Updates will sie nach Bereinigung aufspielen.

Könnt Ihr bitte Tipps geben wie man die Tierchen endgültig loswird ?

Sende die Dateien mal an partytime-germany.ice@web.de
Die Dateien werden noch nicht von allen AV's erkannt. Das muss sich ändern.

Poste anschl. mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Schaut wüst aus:

Logfile of HijackThis v1.98.2
Scan saved at 18:17:49, on 31.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\msvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINNT\SYSTEM32\FGASFp.exe
C:\WINNT\SYSTEM32\gaghhp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\SYSTEM32\bbsdf.exe
C:\WINNT\System32\ffbaqe.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\ffbaqe.exe
C:\WINNT\Explorer.exe
D:\HIJACK\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VQVQEVXfxcX] C:\WINNT\SYSTEM32\hgdhp.exe
O4 - HKLM\..\Run: [bbdjmrxcX] C:\WINNT\SYSTEM32\htehtd.exe
O4 - HKLM\..\Run: [NetWork] csrs.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe SetReg
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Video Process] MSlti64.exe
O4 - HKLM\..\Run: [ffeqOME] C:\WINNT\SYSTEM32\vcvsav.exe
O4 - HKLM\..\Run: [GDAX] C:\WINNT\SYSTEM32\FGASFp.exe
O4 - HKLM\..\Run: [Halloween Stream] C:\WINNT\SYSTEM32\gaghhp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSN Messenger BETA 7] C:\WINNT\SYSTEM32\bbsdf.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\Run: [Systemey] systemey.exe
O4 - HKLM\..\Run: [msvc32] msvc32.exe
O4 - HKLM\..\RunServices: [NetWork] csrs.exe
O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe
O4 - HKLM\..\RunServices: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\RunServices: [Systemey] systemey.exe
O4 - HKLM\..\RunServices: [msvc32] msvc32.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab


Haben ausserdem Norton drüberlaufen lassen, sieht so aus als ob Antivir auch schon beschädigt ist:
35916 Dateien geprüft 22 infizierte Datei(en) auf Ihren
Laufwerken
Es wurden keine Viren im Arbeitsspeicher gefunden
C:\WINNT\systemi32\FGASFp.exe ist infiziert mit Backdoor.Ranky.K
C:\WINNT\svstem32\g3ghhp.exe ist infiziert mit Backdoor.Ranky
C:\WINNT\system32\msgfix.exe ist infiziert mit W32.Valla.2048
C:\WINNT\system32\mstoolbar.exe ist infiziert mit Trojan dropper
C:\WINNT\system32\mymsn.exe ist infiziert mit Trojan dropper
C:\WINNT\system32\nscqdw.exe ist infiziert mit Trojan dropper
C:\WINNT\system32\stuvn.exe ist infiziert mit Trojan dropper
C:\Programme\AVPersonal\INFECTED\INTEGATOP.EXE.001 ist infiziert
mit W32.Pandex
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.001 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.002 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.003 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.004 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.005 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.006 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.007 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.003 ist infiziert mit
W32.Pandex
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.009 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\MSGFIX.EXE.010 ist infiziert mit
W32.Valla.2048
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.001 ist infiziert
mit W32.HLLW.Gaobot.gen
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.002 ist infiziert
mit W32.HLLW.Gaobot.gen
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.003 ist infiziert
mit W32.HLLW.Gaobot.gen
C:\Programme\AVPersonal\INFECTED\WINHLPP32.EXE.005 ist infiziert
mit W32.Valla.2048
Habe aber bei Symantek nichts Näheres gefunden.

Mail an partytime ist unterwegs.
Grüsse Karl

Hallo, Karlii,
Euer System ist ja gewaltig verseucht. Unter anderem der
und der und so weiter.
In diesem Fall meine ich, solltest Du Dein System neu aufsetzen.
Ich glaube nicht, daß all Deine Probleme mit fixen von Prozessen erledigt sind.
Aber vielleicht hat einer der Kollegen dazu eine andere Ansicht.
cacatoa

Es ist leider noch keine Mail angekommen.

zur Zeit hängt das System bei meiner Tochter an allen Ecken und Enden so dass sie nicht mailen kann
Gruß Karl