Hallo,

hab Win2000 SP4 und n ekelhaften Virus drauf.

Im normalen Modus geht alles flüssig bis ich mich per DFÜ in DSL einwähl (RASPPPOE) dann schnippt die svchost.exe auf 99% Prozauslastung und nix geht mehr bzw nur sehr zäääh.

Antivir findet den Virus Worm.Rbot in der TFTP3233 oder ähnlich. Wenn man länger online bleibt kommt dann auch noch n Trojaner dazu Agent.ADA.

Wenn ich jetzt wie üblich in den Abgesicherten Modus gehen will um den Virus zu kicken steht das System bei 99% Auslastung und man kommt garnich vom fleck.

Per Hijack kann ich nix ungewöhnliches entdecken in den RUNs von der Registry ist auch nix.

Wie bekomm ich den Mist wieder los? Was is das? Nerv!!!!

Danke vielmals.

Neuinstallation?

Windows Updates?

Poste trotzdem mal das Hijackthis-Log.

Avast! runterladen. Installieren und dann bei der Frage nach der "Laufzeitprüfung" JA sagen.

Dann klinkt der sich in die Startroutine VOR Windoof und checkt alles BEVOR Windows es laden kann.

Windoof

Das Produkt heisst Windows.

Das Produkt heisst Windows.

[OF]

Ich weiß ich weiß :mod:

[/OF]

@volker81:

Dann poste es auch nicht.

Zurueck zum Thema.

Wow geht ja ruckizucki hier.

Soll ich nur den Avast Cleaner ziehn oder den ganzen Scanner?

So der Avast Scanner und Cleaner haben nix gebracht bzw. gefunden genauso wie Stinger, Trendmicro, Kaspa...

Hier is meine Hijack Log was mir komisch vorkommt is die GEARSec im System32 Ordner.

Ist der C:\WINNT\System32\dmadmin.exe was normales oder gehört der auch nicht dahin?

Logfile of HijackThis v1.99.1

Scan saved at 01:18:11, on 02.08.2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\GEARSec.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\Programme\AVPersonal\AVGNT.EXE

G:\antispy\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\System32\GEARSec.exe

O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe

O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

"Gearsec.exe" gehört zu DVD/CD Programmen oder Image-Anwendungen....

Dumme Frage, aber hast du Ad-Aware schonmal laufen lassen?

Hallo,

habe die Nacht über Stinger im abgesichertem Modus laufen lassen weil das System ausgelastet war. Am morgen hat Stinger nix angezeigt daher ging ich davon aus das er auch nix gefunden hatte.

Nach einem Neustart funktionierte der Abgesicherte Modus normal und die svchost.exe lief auch als ich mich im normalen Modus ins DSL eingewählt hatte.

Habe gestern noch die Windows Dienste GearSec (überbleibsel von Davideo), den Event Log Watch und den WMDM PMSP Service deaktiviert geh davon aus das ich diese Dinger nich brauche.

Etwa hat der Virus heut sein freien Tag oder Stinger hat ihm den Gahr ausgemacht. Falls sich noch was ergibt meld ich mich wieder.

Danke & Gruß!

Hier die Auswertung Deines Logfiles: http://www.hijackthis.de/logfiles/bd0d036a1ae8e49fbb7b5ccccdcaedec.html (bis 5.8.05 verfuegbar)

Zusammenfassung:

Wahrscheinlich kommen Deine Viren ueber Sicherheitsluecken des Systems/IE rein, sobald Du online gehst

Abhilfe:

Nutze ein garantiert virenfreies Medium, lade die aktuellen Virensignaturen und scanne damit das System

Z.B. das von der ct-Redaktion entwickelte knoppicillin (lag der ct 20/04 bei)

Danach sofort Windowsupdates durchfuehren.

--> Regelmaessig Windowsupdates inkl. IE durchfuehren

Dafuer den Dienst Automatische Updates nutzen. Dieser wird gern aus Paranoia nicht genutzt oder von - in einigen Zeitschriften hochgelobten - Tools ausgeschaltet, ohne den Benutzer ueber die Folgen zu informieren.

Wie aktuell ist Dein staendig laufender Apache, sind dort die aktuellen Patches eingespielt? Nein -> Ausschalten, solange Du im Internet surfst

Wie siehts aus mit Benutzerrechten, surfst Du mit dem Administrator-Konto? Ja -> Zum Surfen einen separaten Benutzer mit eingeschraenkten Rechten (nicht mehr als Benutzerrechte) nutzen