|
Massives Trojanerproblem und mehr Hallo, mein erster [und hoffentlich letzter] verzweifelter Beitrag in diesem Forum, welches ich schon oft besucht hab. Ich bin von diesen blöden Würmer, Trojanern und Spywares nicht unverschont geblieben. Dachte bis jetzt [ein Jahr eigner Laptop und ein Jahr virenfrei] ich wäre eine von wenigen, die sicher im Netz unterwegs ist. Lange Rede - kurzer Sinn: ICH BRAUCHE HILFE!!! Mein AntiVir Personal... meldet folgendes: C:\ gammaloud.exe ArchiveType: RAR SFX (self extracting) --> HideRunpexed.exe WARNUNG! Fehler beim Öffnen der Datei --> ProcessKiller.exe [FUND!] Ist das Trojanische Pferd TR/Drop.Lowzones.A --> vb.exe [FUND!] Ist das Trojanische Pferd TR/VB.HY.1 --> blank.html WARNUNG! Fehler beim Öffnen der Datei --> georgebestt.html WARNUNG! Fehler beim Öffnen der Datei --> re11.REG WARNUNG! Fehler beim Öffnen der Datei hiberfil.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Bachtrco\Lokale Einstellungen\Temp ~DFAE82.tmp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Bachtrco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\198OZ4KV wk[1].exe ArchiveType: RAR SFX (self extracting) --> HideRunpexed.exe WARNUNG! Fehler beim Öffnen der Datei --> ProcessKiller.exe [FUND!] Ist das Trojanische Pferd TR/Drop.Lowzones.A --> vb.exe [FUND!] Ist das Trojanische Pferd TR/VB.HY.1 --> blank.html WARNUNG! Fehler beim Öffnen der Datei --> georgebestt.html WARNUNG! Fehler beim Öffnen der Datei --> re11.REG WARNUNG! Fehler beim Öffnen der Datei C:\Programme\Macromedia\Flash MX 2004\Players\Debug Install Flash Player 7 OSX.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt Install Flash Player 7.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Programme\Macromedia\Flash MX 2004\Players\Release Install Flash Player 7 OSX.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt Install Flash Player 7.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\$NtUninstallKB826942$ dhcpcsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ndis.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ndisuio.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! netshell.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! nwlnkipx.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wzcdlg.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wzcsapi.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wzcsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\SoftwareDistribution\EventCache {806E1685-C1DC-416B-A0C5-E5C5A270D758}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32 mouse.exe [FUND!] Enthält Signatur des Wurmes WORM/SdBot.73257 WURDE GELÖSCHT! ProcessKiller.exe [FUND!] Ist das Trojanische Pferd TR/Drop.Lowzones.A WURDE GELÖSCHT! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! What shall I do? Hilfe sehr erwünscht!!! Vielen vielen vielen Dank!!!!!! |
Zitat:
Wenn du das Board schon so oft besucht hast, dann dürfte es dir eigentlich nicht entgangen sein, daß jeder User sein Problem -der Übersichtlichkeit wegen- in einem eigenen Thread schildert! bzgl. "und hoffentlich letzter Beitrag": Das ist leider der momentane Trend, der im Netz zu beobachten ist: Nur nehmen, aber nichts geben... btw: Neuen Thread für dein Problem erstellt (Beiträge wurden aus diesem Thread gelöst)! |
Zitat:
Ich würde gern geben, beschäftige mich aber weniger mit Virenbekämpfung, eher mit Audio, Video, Fotografie, Webdesign und Netzwerktechnik. In diesen Bereichen werde ich seit einem Jahr unterrichtet und versuche mich auch privat damit auseinanderzusetzen. Falls also jemand in einem dieser Bereiche was braucht, helfe ich sehr gerne. Wenn jemand wissen will, wie beschissen mein Computer zur Zeit funktioniert, teile ich mich auch gerne mit. Aber wer in diesem Forum so oft heldenhaft genannt wird (und evtl. auch einer der Moderatoren ist), sollte meiner Meinung nach nicht mit unerfahrenen und auch wie in meinem Beitrag erwähnten verzweifelten Usern schimpfen. Glaubst du, ich sitze freiwillig um halb zwei gemeinsam mit dem AntiVir vorm Laptop? Also wenn mir [auch wenn ich anscheinend eine so dumme und egoistische Person bin] jemand helfen will, werde ich mich - sofern möglich - auch sehr gerne dazu bereit erklären eine Gegenleistung springen zu lassen. Wenn ein produktiver Vorschlag kommt! Bis jetzt war ich glücklich über dieses Forum, weil ich niemanden belästigen musste mit meinen Probs, da alles durch lesen geklärt werden konnte. Ich hab auch diesmal gesucht und leider keine passende Auskunft erhalten, daher hab ich mich überwunden, selbst zu posten. Ich bin kein Dummie was den Computer betrifft, aber werde wohl nie ein Profi auf dem Gebiet der Schädlinge werden. Mir tuts jetz fast schon leid, dass ich mich hier angemeldet habe. |
Sorry, ich habe deinen Satz 'hoffentlich letzter...' anders aufgefasst. ;) Schwamm drüber'... Erstelle mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es. Beachte die Hinweise! Scanne ebenso mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information. |
Ich bin ja eigentlich ein sehr fröhliches Persönchen, aber du hasts echt geschafft, mich mit deinem Post sehr zu verärgern! Wie gesagt, Schwamm drüber. So, nun zum ernsten Teil der Geschichte: Logfile of HijackThis v1.99.1 Scan saved at 01:57:22, on 09.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\gearsec.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ATnotes\ATnotes.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Rainlendar\Rainlendar.exe C:\WINDOWS\System32\msdos.pif C:\WINDOWS\System32\notepad.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.24.254:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.24.*,192.168.25.*,linux2.hbla,*;server02.hbla.*;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tool2.9\ustorage.exe sys_auto_run C:\Programme\U-Storage Tool2.9 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...te.cab?1125923 317765 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hbla.local O17 - HKLM\Software\..\Telephony: DomainName = hbla.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hbla.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hbla.local O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
Du kannst dir den zweiten Teil, sprich die Virus Log Information von eScan sparen, denn auf deinem System ist ein W32/Rbot-AIY aktiv und somit ist dein System in keinster Weise mehr vertrauenswürdig. Setze es nach Anleitung neu auf, siehe meine Signatur. |
Himmel A und Z! Tja, nun noch letzte Fragen: Ist das so ein Widerling, der mir jedes Mal beim Hochfahren mehr zerstört? Ich selbst bin nämlich keine Windows-Cd-Besitzerin, hab das alles von meiner Schule bekommen [= ein Mediendesignkolleg] und daher hab ich erst in einer Woche oder noch später Zugang zu dieser! Setze ich meine Mitschüler einer Gefahr aus, wenn ich mich ans Schulnetzwerk anschließe? Darf ich meinen geliebten Lappi jetz nicht mehr verwenden, bis ich ihn neu aufsetzen kann? |
Zitat:
Zitat:
Zitat:
Zitat:
|
Das mit den Patches und Updates is mein Fehler! Hab mich von einem Freund überzeugen lassen, dass zB das SP2 net sinnvoll ist, weil es sein Betriebssystem versaut hat. Nun hab ich mich eines Besseren belehren lassen und werde in Zukunft immer brav updaten. Kann der Fiesling auch etwas damit zu tun haben, dass ich seit kurzem keine Mehls mehr versenden kann? Ich arbeit mit IncrediMail. I geh jetz ins Bett, gute Nacht! Danke für die Hilfe! Wenn du was brauchst, meld dich ... :D Ach ja: kann ich das "gammaloud.exe", welches seit 23. August bei mir auf C: liegt [wieso weiß i net] löschen? Hat des was mit dem Wurm zu tun? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:14 Uhr. |
Copyright ©2000-2024, Trojaner-Board