W32.Blaster

Mache bitte ein logfile mit hijackthis und poste es hier!

Download:
http://www.chip.de/downloads/c1_downloads_24575647.html

Klick:"Do a System scan and save Logfile"
Den text aus em Editor Komplett hier rein kopieren OHNE veränderungen!

Außerdem lasse deinen pc mal online scannen mit f-secure und panda:

http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(internet explorer)
solltest du antivire auf em pc haben,wird es dir sagen,dass es was gefunden hat,da gehst du auf ignorieren.

F-secure:(internet explorer)
http://support.f-secure.de/ger/home/ols.shtml

außerdem scanne deinen pc mit Cureit:
Cureit:
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

Poste alle weiteren funde.

gruß deniz

Was muss ich jetzt alles im abgesicherten Modus starten?

Nur Cureit,aber den kannst du erstmal weglassen,alles andre im Normalmodus!!!


gruß deniz

Ich habe deinen Text nicht gelesen aber sich heute noch Blaster einzufangen ist doch schon sau schwer. Hast du schon mal was von Windowsupdates gehört??? oder von Antivirenprogrammen? 

Frag ich mich auch 

So, hier die Ergebnisse:


Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:40, on 25.10.2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\VTTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Maschine\Desktop\Downloads\HiJackThis202.exe

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Dokumente und Einstellungen\Maschine\Desktop\Spiele\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe

--
End of file - 4490 bytes



 F-Secure:

Scanning Report
Friday, October 26, 2007 13:19:08 - 14:25:17

Computer name: OLLI
Scanning type: Scan target for viruses, rootkits, spyware
Target: C:\WINDOWS
Result: 46 malware found
Alexa (spyware)

    * System (Disinfected)

Backdoor.Win32.SdBot.cep (virus)

    * C:\WINDOWS\VTTRAY.EXE
    * C:\WINDOWS\SYSTEM32\ZQN.EXE (Renamed & Submitted)

H@tKeysH@@k (spyware)

    * System (Disinfected)

Tracking Cookie (spyware)

    * System (Disinfected)
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System
    * System

W32/HotKeys.A (virus)

    * C:\WINDOWS\SYSTEM32\H@TKEYSH@@K.DLL

Win32.Backdoor.SDBot (spyware)

    * System (Disinfected)

Windows (spyware)

    * System (Disinfected)

Statistics
Scanned:

    * Files: 16186
    * System: 4507
    * Not scanned: 1

Actions:

    * Disinfected: 5
    * Renamed: 1
    * Deleted: 0
    * None: 40
    * Submitted: 1

Files not scanned:

    * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT 

Hat sich erledigt du hast mehrere Backdoor trojaner drauf,setz dein System neu auf,so wie es in dem link hier steht!!!

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Pc sofort vom Netztrennen!!

Kann ich nicht eine Systemwiederherstellung machen?

Wenn das so einfach wäre, der Trojaner auf der Platte verschwindet einfach, den alten Zustand wiederherstellen, so schön, so einfach, so unmöglich.
 
Doch wie es so ist im Leben, schwerwiegende Fehler kann man nicht mehr rückgängig machen.

Der Trojaner ist im System, davor, danach, dahinter.

Ich liebe Trojaner, sie sind genial.

 

 

Kann ich nicht eine Systemwiederherstellung machen?

Es ist deine Kiste und du kannst damit tun was immer auch du möchtest...
Deine Frage sagt mir aber auch ,das du keine Ahnung hast ,wie schlecht es um dich bestellt ist..
Okay..wer Google und Suchwörter nicht zusammenbringt.....
Deswegen habe ich deinem I)nternetprovider eine Nachricht geschickt....
Wenn du deinen PC nicht neu aufsetzt,wird dir dein Internetprovider den Zugang zum Netz verweigern...
Du.mmköpfe muß man letztlich vor sich selbst beschützen...
Auch bist du eine Gefahr für alle anderen im Internet...
Einen Link hierher habe ich auch nach Microsoft geschickt.
Ich bin nämlich ziemlich überzeugt das dein Betriebssystem geklaut ist...MS wird und kann das ja mal prüfen...hijackthis sei Dank..
Sir Reklov

@butthead912

Lass den Schwätzer einfach schwätzen.
Der braucht das.

 

 

Lass den Schwätzer einfach schwätzen.
Der braucht das.

Er hat einfach nur recht. 

Der hat nicht Recht, sondern postet nicht umsonst mit Gast-Nick. Die Strafanzeigen summieren sich.

Das einzige Recht, was der noch kriegt, ist das Recht des Richters. Und hoffentlich Knast. Endlich!

Der ist gut

Hoffentlich hat sich Sir Reklov nicht totgelacht

Und das der Typ hier überhaupt noch postet, liegt nur daran, daß er sich nicht registrieren muß!

Denn den Straftäter und Forenverseucher, der überall Hausverbot hat erkennt und kennt mittlerweile jeder Admin im deutschen WWW, nur hier nicht!

Merkt Euch das gefälligst!

@Schalker

Wer zuletzt lacht, lacht am besten.

Und das ist nicht Dein Knastbruder, der sich fein dünne gemacht hat. Ist auch besser so!

Gute Nacht!

Kennst du ihn etwa privat? ??? Hat er dir die Freundin/den Freund weggeschnappt oder so? scheinst Sir Reklov ja nicht sehr zu mögen

Wenn dieser Flachflieger nochmal hier erwischt wird, dann schalten wir auf rot. Der Typ hat Hausverbot auf vielen Plattformen, auch ohne Computerbezug. Er ist zahlreichen Admins namentlich bekannt. Sollte er sich hier nochmal blicken lassen, werden seine Adressdaten, Vorstrafen, Strafanzeigen, Telefonnummern und weitere Interna veröffentlicht.

Admins werden sich zukünftig vor diesem Konsortendreck schützen!

 

Du glaubst doch nicht das ich Geschmeiß wie RG oder einer seiner vielen anderen Nicks kenne ?

Die Vorstellung ist zu ekelhaft...

Alle paar Wochen kriecht er raus und proletet sich einen ab ,der RG...

Die ihmgebührende Antwort lautet

DFTT = dont feed the troll
Zu deutsch =Füttere den Troll nicht
Damit ist gemeint : auf seine Provokationen nicht einzugehen.
Du läßt den Troll sozusagen verhungern...Es macht ihm ja nur Spaß ,wenn er Antwort bekommt..
Sir Reklov

Auch wenn nix gegen mich gesagt wurde aber da wollte ich mal was sagen.
Schade das manche Menschen auf dem Klo wahren und abgeschlossen haben als Gott Hirn verteilte.

Drei Strafanzeigen verschiedener Foristen alleine heute.

Immer weiter so, wir sammeln das.

Jap. Ich hoffe ihr schreibt die Namen nicht am PC auf. Ansonsten solltest du über das HIER nachdenken. Bevor dein Speicher noch voll ist.

Nächste Woche gibt es eine neue Internetseite online.
Da darf der Typ seine Vorstrafenregister und die Liste aller Strafanzeigen durchlesen, die Admins erstattet haben. Suchmaschine anwerfen. Der hiesige Nick reicht.

Alle Welt ist eingeladen.

 

@schalker

mach doch mal eine weiß-blaue meldung zum Doktor...

  Ne lass mal. Sonst wird unser Thema hier noch ins Witzeforum verschoben

 

Hallo butthead912,

falls du den Fehler noch hast, mach folgendes:
Geh zu den Diensten (entweder Startmenü-Zubehör-Verwaltung-Dienste oder Systemsteuerung-Verwaltung-Dienste):
Dort auf "s3contrl (32-bit)"-Doppelklick und deaktivieren. Falls er das nicht zulässt, im abgesicherten Modus durchführen. Beim nächsten Neustart kann vttray.exe gelöscht werden, ebenso die Datei 3d3t4t8n7l.exe bzw. 9r2h2z5l7v8.exe im Rootverzeichnis von C:\
Hat bei mir geholfen, hatte nie wieder Probleme damit, v.a. war der Rechner nicht durch ständige 100prozentige Auslastung blockiert.
Ich setzte das System jedenfalls nicht neu auf.