|
Hilfe ich glaub mein PC ist rundum verseucht und ich hab von nichts ne ahnung :-( Ich möchte schon im Vorraus sagen das ich von PC und Viren kaum eine ahnung hab daher bitte ich euch sollte mir jemand helfen können die Erklärung recht einfach zu gestalten halt so das ich sie auch verstehe^^ Und zwar hab ich gleich mehrere Probs erstens manchmal bzw oft lässt sich mein PC nicht mehr herunterfahren, mein i-net ist aufeinmal langsamer(das äusert sich zB wenn ich online spiele ich hab 800 down und 128 up und bei mir ist der Ping immer so extrem hoch das es nicht sein kann wenn andere niedrigen ping haben hab ich immer 4 oder 5 mal so hohen), manchmal kann ich mich mit dem i-net gar nicht verbinden und muss vorher neu starten, oft lassen sich bestimmte Progs gar nicht öffnen(auch Task manager öffnet sich manchmal nicht) erst wenn ich wieder neu starte, Ich habe momentan Antivir und Adaware auf dem rechner sind die überhaupt kompatibel miteinander ? Wenn der Scan dann efektiv startet findet dsa prog auf immer öfter das Trojanische Pferd TR/Dldr.Dyfuca.DB ich hab keine ahnung was das jetzt wieder ist und wie ich das wieder weg bekommen kann. Naja bei Antivir ist es so wenn ich das programm starte macht es sonen systemtest und da wirft es mir gleich mehrere so worm/brobot 976416 oder so auf(zahlen weiß ich nicht genau aber fängt mit 9 an) da kommt diese meldung sicher 4 mal oder öfters. Und egal wie oft ich das lösche das ist immer wieder da sprich wenn ich das nächste mal antivir öffne sind die dinger schon wieder da. Wie krieg ich die los ? Wenn der Scan dann efektiv startet findet dsa prog auf immer öfter das Trojanische Pferd TR/Dldr.Dyfuca.DB ich hab keine ahnung was das jetzt wieder ist und wie ich das wieder weg bekommen kann. Und ab hier hab ich ka mehr was wie genannt wird in der fachsprache usw. Daher kann es sein das ich manchen erklärungen nicht gleich folgen kann. ich hoffe jemand kann mir dabei helfen. |
Erstelle einen Log mit Hijackthis und poste diesen hier im Forum: www.hijt.klaffke.de Desweiteren lade dir escan und checke damit dein System: Link Befolge bitte die Anleitung haargenau. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) |
Logfile of HijackThis v1.99.1 Scan saved at 08:56:32, on 20.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0900 Warner\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\AonInformer\informer.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Winamp\winampa.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Benutzer 1\removeme.exe C:\WINDOWS\System32\scmss.exe C:\mActiveX.exe C:\Programme\ISTsvc\istsvc.exe C:\WINDOWS\pdywlb.exe C:\programme\180solutions\sais.exe C:\WINDOWS\switpb.exe C:\WINDOWS\System32\msmq2inst.exe C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe C:\Programme\Microsoft Money\System\reminder.exe C:\WINDOWS\system32\dumprep.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\OpenOffice.org1.0.3\program\soffice.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Benutzer 1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ofame.de/php70/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.Aon.at"); (C:\Programme\Netscape\Users\aon_sonja_merl_\prefs.js) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\Benutzer 1\removeme.exe O4 - HKLM\..\Run: [Security Patch] scmss.exe O4 - HKLM\..\Run: [REGRUN] C:\mActiveX.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [dcWQek] C:\WINDOWS\pdywlb.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpb.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [enybulkr] C:\WINDOWS\enybulkr.exe O4 - HKLM\..\RunServices: [Security Patch] scmss.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [wshcon] C:\WINDOWS\System32\wshcon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 1.0.3.lnk = C:\Programme\OpenOffice.org1.0.3\program\quickstart.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .mov: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\Npqtw32.dll O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c139.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O17 - HKLM\System\CCS\Services\Tcpip\..\{18A567BD-4699-4B0E-B340-BAD22A044C82}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{54F0ADFB-60FE-4545-A753-D9DD69250BE3}: NameServer = 195.34.133.10,195.34.133.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{18A567BD-4699-4B0E-B340-BAD22A044C82}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\BENUTZ~1\LOKALE~1\TEMP\_VWUPSRV.EXE also das sollte der logfile bericht von hijacking sein glaub ich. |
Hallo, Fred4, Dein Rechner ist ziemlich verseucht! Vor allem hast du mindestens einen aktiven Backdoor-Trojaner drauf und zwar diesen. Da gibt´s nur eine Antwort und Lösung: System neu aufsetzen!! Halte dich an alle Tipps in dem Link! Mehr gibt´s dazu nicht zu sagen. Leider. cacatoa |
hmm also sind die ganzen sachen daran schulld das mein PC und i-net solangsam ist und sich nicht herunterfahren lässt usw ? Was macht diese Backdoor eigentlich genau ? Und beim aktullen scan von escan hab ich jetzt shcon 32 viren obwohl ich es erst 24 min laufen hab aber ich poste das ergebniss nachher trotzdem noch. Was passiert wenn ich den PC neu aufsetze ich hab das noch nie gemacht hab den PC auch noch nicht soo lange. Sind dann alle viren samt aller meiner daten weg ? hmm so ein mist ich lies escan laufen und war nicht am PC dann hat Xp automaitsch den bildschirmschoner reingetan und als ich nachschauen wollte ob es schon fertig ist und mich wieder anmelden wollte konnte ich das nicht mehr PC blieb einfach hängen. |
Hi, eScan immer im abgesicherten Modus ausführen. Zum Neu-aufsetzen habe ich im letzten Post Cidre´s Tipps als Link eingefügt. Alles lesen! Hier hat Lutz zur Datensicherung geschrieben. cacatoa |
ich hab leider ka was abgesicherter modus ist PC neu aufsetzen das macht heute ein freund von mir. |
Hallo, Zitat:
|
da steht dann nur ausführen im abgesicherten Modus zur Systemwiederherstellung. Kann man beim Aufsetzen des PCs eigentlich viel falsch machen ? Außerdem noch ne Frage ihr schreibt das man nach dem neuaufsetzen des PCs ein neues konto mit eingeschränkten fähigkeiten aufmachen soll. Das geht bei mir aber nciht gut da ich der administrator sein muss da sonst bestimmte dinge nicht gehen die ich machen möchte. Ich hab vor alles endgültig zu löschen sprich keine sicherheitsdateien oder ähnliches zu machen instalationsdiscs sind eh alle da die ich brauch. Kann ich dann wenn ich neu aufgesetzt hab ins i-net und mir virenschutz runterladen ohne das ich mir wieder neue würmer und so einfange ? |
Zitat:
Zitat:
Zitat:
Zitat:
http://support.microsoft.com/default...d=kb;de;294676 http://www.luckie-online.de/programm...er/index.shtml http://www.robotronic.de/runasspc/ http://noadmin.de/index.php Zitat:
Kurzfristige Lösung nach dem Neuaufsetzen wäre, zuerst Punkt 2 auszuführen um nachträglich alle weiteren Punkte abzuarbeiten. Einzige Einschränkung von Seiten MS ist, dass das Windows Update nach wie vor vor, leider nur mit Admin-Rechte ausführbar ist! |
k erstmal danke für die hilfe ihr habt echt ahnung von dem ganzen. Ich werd mal schauen das ich das beste daraus machen kann da seid neuem eine ganze reihe neuer probs aufgetauch sind die ich noch nie zuvor hatte. |
ok ich hab jetzt festplatte C neu aufgesetzt da auf den anderen gar nichts bis kaum was gespeicher war. Ich hab schon Zone Alarm und Antivir neu runtergeladen beim eigentlichen systemtest wurde nichts mehr angezeigt allerdingsi ist das Trojanische Pferd Dyfuca immer noch hier aber anscheinend nicht mehr so oft bis jetzt nur einmal. |
Zitat:
Hast die Systempartition auch formatiert oder nur Win XP drübergebügelt? Wo wird Dyfuca denn gefunden? Poste auch nochmal ein aktuelles HJT Log-File. |
also ich selber hab das nicht gemacht ich weiß nur das der wo es gemacht hat halt windows XP CD eingelegt hat und dann glaub ich neu instaliert hat also so daten von vorher sind ansich alle weg. ich post gleich logfile. Logfile of HijackThis v1.99.1 Scan saved at 21:29:19, on 20.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alcatel\Dragdiag.exe C:\Programme\AonInformer\informer.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wpabaln.exe C:\Dokumente und Einstellungen\Patrick\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{94DAC459-19E5-497A-A475-5323685DE004}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\Zo also ich glaub gegenüber dem letzen logfile müsst es besser sein da ich zwar momentan auch einzelne probs hab aber nicht mehr so derbe viele wie vorher. |
Ich zitiere mal Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board