Trojaner-Board - brauche hilfe!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - brauche hilfe!!! (https://www.trojaner-board.de/14131-brauche-hilfe.html)

Kann mir jemand helfen!? Brauche hilfe!!! Rbot..und co attack!

hey!! also wäre nett, wenn mir jemand behilflich sein könnte!!
ich werd diese würmer ,trojaner... trotz mehrfacher neuinstallation nicht los..
habe win2000 und ihr könnt am hijackthis log sehen.. da tummelt sich einiges
bin für jeden tipp und anmerkung dankbar!!

C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\isfm.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINNT\system32\ntvdm.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

hi bitte poste ein vollständiges hjt log die kopfzeile und die einträge unter den laufenden prozessen fehlen
sunshine

oh, sry... hier ist es

Logfile of HijackThis v1.99.1
Scan saved at 19:17:37, on 19.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\isfm.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINNT\system32\ntvdm.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RSPC Driver] isfm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows Compliant] pehdsq.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [RSPC Driver] isfm.exe
O4 - HKLM\..\RunServices: [Windows Compliant] pehdsq.exe
O4 - HKCU\..\Run: [RSPC Driver] isfm.exe
O4 - HKCU\..\Run: [Windows Compliant] pehdsq.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5618D70C-0043-4654-A3E9-8F9980A26B4D}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

hi
lade dir escan runter und gehe nach der anweisung hier:http://www.trojaner-board.de/42731-escan-anleitung.html vor
download: http://www.mwti.net/antivirus/free_utilities.asp
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. (zitat cidre)
sunshine

hey!
wie gesagt- getan!!
wurde leider einiges gefunden...

=> File C:\WINNT\system32\cdaccess2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\NKVPLM.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> File C:\WINNT\system32\vgacard6.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Take

=> File C:\iel.exe infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\ISFM.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> File C:\Programme\AVPersonal\INFECTED\PEHDSQ.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken

=> File C:\Programme\AVPersonal\INFECTED\pehdsq.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> File C:\Programme\AVPersonal\INFECTED\pehdsq.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> File C:\Programme\AVPersonal\INFECTED\TMFT.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> File C:\Programme\AVPersonal\INFECTED\WINDNS.EXE.VIR infected by "Trojan-Proxy.Win32.Ranky.gen" Virus. Action Taken: No Action Taken.

=> File C:\WINNT\system32\cdaccess2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> File C:\WINNT\system32\NKVPLM.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> File C:\WINNT\system32\vgacard6.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Hallo,

setze dein System zur deiner eigenen Sicherheit neu auf, die genaue Vorgehensweise hierzu, findest du im Link in meiner Sig.

Info Backdoor Rbot.gen:
http://www3.ca.com/securityadvisor/v....aspx?id=39437

okay, danke für eure hiilfe...
dann auf eine erneute installation..

Zitat:

Zitat von denver

okay, danke für eure hiilfe...
dann auf eine erneute installation..

Warum hast Du Dir nicht die Mühe gemacht, einfach mal zu schauen, welche Lösung es bei Rbot gibt? Du bist schließlich nicht der erste, der mit diesem Problem hier aufschlägt, es gibt ca. 2000 Threads zu diesem Problem, und jedesmal ist die Lösung gleich. Oder meinst Du, ausgerechnet bei Dir wäre die Lösung anders? :balla:

Gruß :daumenhoc
Yopie