#1 13. November 2008 jo hi, soll einen bekannten bei der virenbekämpfung beraten. er meint sein pc fährt in unregelmäßigen abständen automatisch herunter. sein Avira Antivir findet zwar die viren kann sie aber nich beseitigen. bis jetzt hab ich ihm gesagt er soll mal paar hijack this scans drüber laufen lassen und die gefährlichen prozesse fixen. das hier ist sein 1. hijack this scanlog: Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:06:31, on 10.11.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\dllcache\prsc32.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\mdm.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\ArcorOnline\AOButler.exe D:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.freeart1cile.com"]http://www.freeart1cile.com[/URL] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.arcor.de"]http://www.arcor.de[/URL] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.arcor.de"]http://www.arcor.de[/URL] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.arcor.de"]http://www.arcor.de[/URL] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG F3 - REG:win.ini: load= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [mmsass] msv.exe O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe O4 - HKLM\..\Run: [dsgb] C:\WINNT\system32\lcsass.exe O4 - HKLM\..\RunServices: [mmsass] msv.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe O4 - HKCU\..\Run: [dsgb] C:\WINNT\system32\lcsass.exe O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4 O4 - HKUS\.DEFAULT\..\Run: [Windows Networking Monitoring] C:\WINNT\system32\mdm.exe (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [URL="http://service.gmx.net/de/cgi/derefer?TYPE=3&DEST=http%3A%2F%2Fwww.update.microsoft.com%2Fwindowsupdate%2Fv6%2FV5Controls%2Fen%2Fx86%2Fclient%2Fwuweb_site.cab%3F1223314356584"]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223314356584[/URL] O17 - HKLM\System\CCS\Services\Tcpip\..\{D4E84EA9-3AE4-47B0-B534-F6712591087C}: NameServer = 195.50.140.178 195.50.140.114 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: le4y2g5b8o7 - Unknown owner - C:\WINNT\system32\svshost.exe (file missing) O23 - Service: NTFS Crypto Technology (NTFSCrypt) - Unknown owner - C:\WINNT\system32\ntfscrypt.exe (file missing) O23 - Service: Windows Process Sevices - Unknown owner - C:\WINNT\system32\dllcache\prsc32.exe -- End of file - 4328 bytes nachdem er die gefährlichen sachen gefixt hat bleibt noch einer übrig der sich nich fixen lässt: 023-Service: NTFS Crypto Technology (NTFSCrypt)-Unknown owner - C:\WINNT\system32\ntfscrypt.exe (file missing) Avira findet jetzt noch 2 viren: C:\WINNT\system32\helperlcsass.exe ist das Trojanische Pferd TR/Proxy.Slaper.E.12 C:\WINNT\system32\mdm.exe enthält Erkennungsmuster des Wurmes WORM/IrcBot.24064 wie soll er weiter machen? bitte keine "platt machen" posts... das is ein noob in sachen pcs und weiß bestimmt nich was formatieren ist. + Multi-Zitat Zitieren
#2 13. November 2008 AW: Virenhilfe bei einem Bekanntem IRCBot = Gefährlich wenns ein guter ist wirst du ihn nicht los ausser durchs Formatieren oder eine Systemwiederherstellung! Falls dein bekannter Online Konten etc. hat -> Formatieren!!! mfg + Multi-Zitat Zitieren
#3 13. November 2008 AW: Virenhilfe bei einem Bekanntem mir is grad noch eingefallen: er könnte ja mal im abgesicherten modus versuchen die viren zu löschen. mal schaun obs klappt... + Multi-Zitat Zitieren
#4 13. November 2008 AW: Virenhilfe bei einem Bekanntem Bei einem Bot unwahrscheinlich - Formatieren ist hier die einzigst sichere Methode + Multi-Zitat Zitieren
#5 13. November 2008 AW: Virenhilfe bei einem Bekanntem ftp://ftp.heise.de/pub/ct/projekte/knoppicillin/k6d_6.0.2.iso dort findet ihr knoppicillin, eine bootfähige notfall cd mit knoppix+antivirenprogramm einfach den rechner damit hochstarten und mal durchlaufen lassen .. funtzt sogar gegen rootkits mehrinfos Mit Knoppicillin auf Virenjagd | ct + Multi-Zitat Zitieren
#6 13. November 2008 AW: Virenhilfe bei einem Bekanntem sind die virendefinitionen auf dem image denn aktuell? + Multi-Zitat Zitieren
#7 14. November 2008 AW: Virenhilfe bei einem Bekanntem Natürlich nicht tagesaktuell Bei vorhandener Netzwerkarte erkennt er diese automatisch und holt sich aus dem Internet die aktuellen Definitionen. + Multi-Zitat Zitieren