geizhals Geschrieben 1. August 2005 Geschrieben 1. August 2005 Hallo, hab Win2000 SP4 und n ekelhaften Virus drauf. Im normalen Modus geht alles flüssig bis ich mich per DFÜ in DSL einwähl (RASPPPOE) dann schnippt die svchost.exe auf 99% Prozauslastung und nix geht mehr bzw nur sehr zäääh. Antivir findet den Virus Worm.Rbot in der TFTP3233 oder ähnlich. Wenn man länger online bleibt kommt dann auch noch n Trojaner dazu Agent.ADA. Wenn ich jetzt wie üblich in den Abgesicherten Modus gehen will um den Virus zu kicken steht das System bei 99% Auslastung und man kommt garnich vom fleck. Per Hijack kann ich nix ungewöhnliches entdecken in den RUNs von der Registry ist auch nix. Wie bekomm ich den Mist wieder los? Was is das? Nerv!!!! Danke vielmals. Zitieren
hades Geschrieben 1. August 2005 Geschrieben 1. August 2005 Neuinstallation? Windows Updates? Zitieren
Thanks-and-Goodbye Geschrieben 1. August 2005 Geschrieben 1. August 2005 Poste trotzdem mal das Hijackthis-Log. Zitieren
volker81 Geschrieben 1. August 2005 Geschrieben 1. August 2005 Avast! runterladen. Installieren und dann bei der Frage nach der "Laufzeitprüfung" JA sagen. Dann klinkt der sich in die Startroutine VOR Windoof und checkt alles BEVOR Windows es laden kann. Zitieren
Thanks-and-Goodbye Geschrieben 1. August 2005 Geschrieben 1. August 2005 WindoofDas Produkt heisst Windows. Zitieren
volker81 Geschrieben 1. August 2005 Geschrieben 1. August 2005 Das Produkt heisst Windows. [OF] Ich weiß ich weiß :mod: [/OF] Zitieren
hades Geschrieben 1. August 2005 Geschrieben 1. August 2005 @volker81: Dann poste es auch nicht. Zurueck zum Thema. Zitieren
geizhals Geschrieben 1. August 2005 Autor Geschrieben 1. August 2005 Wow geht ja ruckizucki hier. Soll ich nur den Avast Cleaner ziehn oder den ganzen Scanner? Zitieren
geizhals Geschrieben 1. August 2005 Autor Geschrieben 1. August 2005 So der Avast Scanner und Cleaner haben nix gebracht bzw. gefunden genauso wie Stinger, Trendmicro, Kaspa... Hier is meine Hijack Log was mir komisch vorkommt is die GEARSec im System32 Ordner. Ist der C:\WINNT\System32\dmadmin.exe was normales oder gehört der auch nicht dahin? Logfile of HijackThis v1.99.1 Scan saved at 01:18:11, on 02.08.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\GEARSec.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGNT.EXE G:\antispy\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe Zitieren
volker81 Geschrieben 2. August 2005 Geschrieben 2. August 2005 "Gearsec.exe" gehört zu DVD/CD Programmen oder Image-Anwendungen.... Dumme Frage, aber hast du Ad-Aware schonmal laufen lassen? Zitieren
geizhals Geschrieben 2. August 2005 Autor Geschrieben 2. August 2005 Hallo, habe die Nacht über Stinger im abgesichertem Modus laufen lassen weil das System ausgelastet war. Am morgen hat Stinger nix angezeigt daher ging ich davon aus das er auch nix gefunden hatte. Nach einem Neustart funktionierte der Abgesicherte Modus normal und die svchost.exe lief auch als ich mich im normalen Modus ins DSL eingewählt hatte. Habe gestern noch die Windows Dienste GearSec (überbleibsel von Davideo), den Event Log Watch und den WMDM PMSP Service deaktiviert geh davon aus das ich diese Dinger nich brauche. Etwa hat der Virus heut sein freien Tag oder Stinger hat ihm den Gahr ausgemacht. Falls sich noch was ergibt meld ich mich wieder. Danke & Gruß! Zitieren
hades Geschrieben 2. August 2005 Geschrieben 2. August 2005 Hier die Auswertung Deines Logfiles: http://www.hijackthis.de/logfiles/bd0d036a1ae8e49fbb7b5ccccdcaedec.html (bis 5.8.05 verfuegbar) Zusammenfassung: Wahrscheinlich kommen Deine Viren ueber Sicherheitsluecken des Systems/IE rein, sobald Du online gehst Abhilfe: Nutze ein garantiert virenfreies Medium, lade die aktuellen Virensignaturen und scanne damit das System Z.B. das von der ct-Redaktion entwickelte knoppicillin (lag der ct 20/04 bei) Danach sofort Windowsupdates durchfuehren. --> Regelmaessig Windowsupdates inkl. IE durchfuehren Dafuer den Dienst Automatische Updates nutzen. Dieser wird gern aus Paranoia nicht genutzt oder von - in einigen Zeitschriften hochgelobten - Tools ausgeschaltet, ohne den Benutzer ueber die Folgen zu informieren. Wie aktuell ist Dein staendig laufender Apache, sind dort die aktuellen Patches eingespielt? Nein -> Ausschalten, solange Du im Internet surfst Wie siehts aus mit Benutzerrechten, surfst Du mit dem Administrator-Konto? Ja -> Zum Surfen einen separaten Benutzer mit eingeschraenkten Rechten (nicht mehr als Benutzerrechte) nutzen Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.