Backdoor.Ranky / W32.Randex.gen / W32.Ronoper.Worm
 

Hallo!

Hatte folgende Fehlermeldungen (Viren) bei meiner Norton-Prüfung:

Backdoor.Ranky
W32.Randex.gen
W32.Ronoper.Worm

Habe bereits die Hijackthis runtergeladen und folgende Logfiles erhalten:

Logfile of HijackThis v1.99.0
Scan saved at 23:12:03, on 11.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\s3hotkey.exe
C:\WINNT\Hcontrol.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\avmclient\panapp.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINNT\ATKOSD.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINNT\system32\internat.exe
C:\Programme\avmclient\pantbsrv.exe
C:\Programme\avmclient\bluefritz!.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINNT\Hcontrol.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] ntspvc.exe
O4 - HKLM\..\Run: [A0L Instant Messenger] aim.exe
O4 - HKLM\..\Run: [Service] C:\WINNT\Debug\UserMode\files\back32.exe C:\WINNT\Debug\UserMode\files\debug.exe
O4 - HKLM\..\Run: [Autoloader32] Autoloader32.exe
O4 - HKLM\..\Run: [dacqe] C:\WINNT\SYSTEM32\wgrcs.exe
O4 - HKLM\..\Run: [svchosts32] C:\WINNT\SYSTEM32\manga.exe
O4 - HKLM\..\Run: [Microsoft Internet] spolws.exe
O4 - HKLM\..\Run: [agentsrv] c:\winnt\prefetch\layout\agentsrv\win\agent32.exe c:\winnt\prefetch\layout\agentsrv\win\winmgnt.exe
O4 - HKLM\..\Run: [Registration Service] toker.exe
O4 - HKLM\..\Run: [Windows Tasks] wtask.exe
O4 - HKLM\..\Run: [Windows driver update] C:\WINNT\system32\dmsvc32.exe
O4 - HKLM\..\Run: [MS Configuration] MSFramer.exe
O4 - HKLM\..\Run: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\Run: [RandomWin32] rand32.exe
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [EPSON Stylus CX3200 (Kopieren 2)] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P32 "EPSON Stylus CX3200 (Kopieren 2)" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\RunServices: [Generic Host Process for Win32 Services] ntspvc.exe
O4 - HKLM\..\RunServices: [A0L Instant Messenger] aim.exe
O4 - HKLM\..\RunServices: [Autoloader32] Autoloader32.exe
O4 - HKLM\..\RunServices: [Microsoft Internet] spolws.exe
O4 - HKLM\..\RunServices: [Registration Service] toker.exe
O4 - HKLM\..\RunServices: [MS Configuration] MSFramer.exe
O4 - HKLM\..\RunServices: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\RunServices: [RandomWin32] rand32.exe
O4 - HKLM\..\RunServices: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows driver update] C:\WINNT\system32\dmsvc32.exe
O4 - HKCU\..\Run: [expolrer] C:\WINNT\system32\hostdisc.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1377326e46c01d3...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92F99ADA-F632-4CE1-B92C-09EFAE4DD520}: NameServer = 195.50.140.252 145.253.2.174
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4B2DF4D-5579-4CEE-B8A6-4AC94881C354}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A794E5B1-3652-4225-AE0C-EB0AEE94A881}: NameServer = 194.64.40.71
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (file missing)
O23 - Service: Microsoft NetWork FireWall Services - Unknown - NetServices.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: PSEXESVC - Sysinternals - C:\WINNT\System32\PSEXESVC.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Wie geht es nun weiter bzw. was muß ich machen? :confused:

Hallo metz-daniela,

Dein System ist leider derart verseucht u.a. mit dem hier:

http://www.sophos.de/virusinfo/analy...2sdbotgp.html;

dass nur noch Format C: hilft.

Halte Dich an folgende Anleitung.

http://www.trojaner-board.de/showthread.php?t=12154

sry
dartus

Und für die Zukunft solltest du die nachfolgenden Links

http://www.mathematik.uni-marburg.de...ompromise.html
http://www.comsafe.de/

sehr genau durcharbeiten und umsetzen, denn bei deinem Surfverhalten liegt Einiges extrem im Argen, man ist hier viel gewöhnt, aber dein Logfile ist wirklich "beeindruckend". :)