Trojaner-Board - habe ein schwer zu erklärendes problem...

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - habe ein schwer zu erklärendes problem... (https://www.trojaner-board.de/20424-habe-schwer-erklaerendes-problem.html)

@Cador

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Nicht-Uptodate-Windows verursacht 80% aller Malware-Probleme.Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\DOKUME~1\Nowak\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe

--HIJACKTHIS SOLL AUS EINEM NICHT-TEMPORÄREN ORDNER AUSGEFÜHRT WERDEN.
--BENUTZERNAME MUSS KEINER SEHEN
--ALLE LINKS MÜSSEN INAKTIV SEIN.
Wozu steht an der Startpage von TB der Link zur Anleitung HJT??? :teufel1: :teufel1: :teufel1:

Zitat:

O2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nxbzt] C:\WINDOWS\System32\nxbzt.exe
O15 - Trusted Zone: h**p://www.neededware.com
O16 - DPF: NDWCab - h**p://www.neededware.com/ndw4.cab

Das fixen, Dateien

Zitat:

C:\WINDOWS\System32\nxbzt.exe
C:\WINDOWS\System32\WinStat13.dll

im abgesicherten Modus löschen

Zitat:

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

Das macht mir aber Sorgen, denn ich halte für wahrscheinlich, dass du eine Bot-Sorte hast: Info und in dem Fall ist Tabula Rasa angesagt.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

@cronos
Wahrscheinlich hast du ja recht ;).

@ Rene-gad

Wie ich oben schon erwähnte, daß ist nicht wahrscheinlich dieser, das ist der HWBOT.

Zitat:

W32/Hwbot-A kopiert sich mit dem Dateinamen HWCLOCK.EXE in den Windows-Systemordner und erstellt einen Dienst mit folgenden Merkmalen, damit er beim Systemstart aktiviert wird:

Dienstname: hwclock
Anzeigename: Hardware Clock Driver

@ cador

Da nun 3 Regulars einer Meinung sind, solltest du dir den Link zum Neuaufsetzen, den ich dir oben gab, genauestens abarbeiten!

habe mal ne frage.
viele programme funktionieren nach dem neuinstallieren von windows nicht mehr obwohl sie auf einer anderen partition waren.
denke das liegt daran das die registery gelöscht wird oder so...
kann man da irgendwas machen um die progs noch zu retten?

Zitat:

Zitat von Gigamail

@ fly007

Wenn sich die datei im richtigen Verzeichnis befindet, ist es die Systemdatei und ist ok. Wenn sie in einem anderen Verzeichnis steckt dann ist dein Vorschlag ok.

Bei den O17 musst du schon ein wenig auf di IP achten
In deinem fall solltest du sie fixen da sie dir wahrscheinlich nicht bekannt ist siehe hier

In dem anderen Fall handelt es sich um eine dem User bekannte, siehe hier
das ist der kleine Unterschied :D

Hallo Gigamail,

ja und die IP 10.45.94.11 handelt es sich um einen Nameserver in meinem Netzwerk.... Noch habe ich nichts bemerkt, was sich im System geändert hat. Nur der Internet Explorer geht nicht, ist auch bis auf Windows Updates und Firefox gut so!