Hilfe!!!! brauche unbedingt Hilfe. PC wird unwahrscheinlich langsam

[shellbeach]

Hallo

erstmal großes Lob an dieses Forum, habe mir schon öfters gute ratschläge eingeholt.
Nun hat mein Vater das Problem (Rechner mit Windows 2000), das sein rechner unwahrscheinlich langsam wird. es kommt sporadisch die fehlermeldung das ein virus namens sdbot drauf wäre. das löschen bringt garnichts, es kommt immer wieder. ich habe deshalb mit hijack nen logfile erstellt und hoffe auf eure hilfe

Code:

  Logfile of HijackThis v1.99.1
Scan saved at 12:23:59, on 28.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\jfiqcv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\usb2.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\usb2.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINNT\system32\tools.exe
C:\office\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Dll Support] jfiqcv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Windows Tool System] tools.exe
O4 - HKLM\..\Run: [usb win32 2 plugin] usb2.exe
O4 - HKLM\..\RunServices: [Dll Support] jfiqcv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Tool System] tools.exe
O4 - HKLM\..\RunServices: [usb win32 2 plugin] usb2.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Tool System] tools.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Windows Tool System] tools.exe
O4 - HKCU\..\Run: [usb win32 2 plugin] usb2.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Tool System] tools.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[Speedy]

hi

kompromittierung, das sollte schon klar sein, wenn ein backdoor aktiv war(ist) J.Malte und wikipedia

diese dateien bitte hier zur überprüfung und weiterleitung hochladen, du benötigst nur deine emailadresse, sonst nichts. wenn du in zukunft nachsehen willst, welche datein du hochgeladen hast und welche schädlinge auf deinem rechner ware, dann loggst du dich links ein, dazu benötigst du wiederum deine emailadresse und das passwaort, das dir nach dem ersten einloggen zugesandt wird.



C:\WINNT\system32\jfiqcv.exe
C:\WINNT\system32\usb2.exe
C:\WINNT\system32\tools.exe

und auch hier bei Jotti oder Virustotal überprüfen, ergebnis hier posten.

deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von winxp und fixe mit HijackThis die nachfolgenden einträge

O4 - HKLM\..\Run: [Dll Support] jfiqcv.exe
O4 - HKLM\..\Run: [Microsoft Windows Tool System] tools.exe
O4 - HKLM\..\Run: [usb win32 2 plugin] usb2.exe
O4 - HKLM\..\RunServices: [Dll Support] jfiqcv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Tool System] tools.exe
O4 - HKLM\..\RunServices: [usb win32 2 plugin] usb2.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Tool System] tools.exe
O4 - HKCU\..\Run: [Microsoft Windows Tool System] tools.exe
O4 - HKCU\..\Run: [usb win32 2 plugin] usb2.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Tool System] tools.exe

HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA
C:\WINNT\system32\jfiqcv.exe
C:\WINNT\system32\usb2.exe
C:\WINNT\system32\tools.exe


__________________________________________________________

start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.

__________________________________________________________

meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.

__________________________________________________________

start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren

__________________________________________________________

explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell löschen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
__________________________________________________________


scanne das system mit escan (einstellungen beachten!)
1) direktdownload von escan
2) entpacke die datei mwav.exe oder mwav.zip in den ordner c:\bases
sollte das zip-programm dies nicht in einem schritt zulassen, so muss der ordner c:\bases manuell genau so angelegt werden.
3) nun wird der windows-explorer geöffnet und mit einem doppelklick auf die datei KAVUpd.exe, oder kavupd.exe
das update gestartet. auf meinem system (windowsxpsp2) wird sofort ein ordner C:\Download erstellt, der nach dem update
ca. 110 datein und ca. 5 MB groß ist, ein weiterer ordner c:\Bases_X wurde ebefalls erstellt, inhalt 105 datein und ebefalls 5 MB groß
im ordner c:\bases sind 133 datein mit ca. 7,4 MB
4) wechsle in den abgesicherten modus von windows
5) öffne nun wieder den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.com oder [mwavscan.exe[/url], schließe den explorer.
6) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN/CLEAN* bzw. *SCAN/CLEAN* drücken.
7) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
8) nun öffnest du mit dem editor, die mwav.txt oder mwav.log und wählst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

+ ein aktuelles HijackThis-logfile

[shellbeach]

hallo speedy habe das alles mal getan, was du beschrieben hast:
trotz das escan 5 viren gefunden hat und die auch umbenannt hat, kommt über antivir noch folgende meldung wurm.sdbot 116736.5. nicht passiert nachdem ich die datei lösche
hier ist mein logfile aus escan.

Mon Mar 28 16:42:07 2005 => File C:\WINNT\system32\dllsup.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

Mon Mar 28 16:42:35 2005 => File C:\WINNT\usb2.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.

Mon Mar 28 16:44:03 2005 => File C:\WINNT\system32\jfiqcv.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

on Mar 28 16:45:34 2005 => File C:\WINNT\system32\payload.dat infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Dieter1\payload.dat infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: File Renamed.


mein logfile aus hijackthis ist jetzt:

Logfile of HijackThis v1.99.1
Scan saved at 13:51:02, on 29.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINNT\system32\dllsup.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\office\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [Dll Support] dllsup.exe
O4 - HKLM\..\Run: [MsWindows SysDate] sysmsvc.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Dll Support] dllsup.exe
O4 - HKLM\..\RunServices: [MsWindows SysDate] sysmsvc.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Microsoft Windows Tool System (Wut Nigga) - Unknown owner - C:\WINNT\system32\C:\WINNT\system32\tools.exe" -netsvcs (file missing)

usb2.exe kann ich löschen, bei der datei jfiqcv.exe kann ich nicht finden auch wenn ich alle dateien sichtbar mache.....???

gruß

[Ruby]

Hallo shellbeach,

vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Die Dateien sind umbenannt worden. Das heisst sie tragen jetzt einen anderen Namen, den du eigentlich leicht erkennen müsstest, da die erste "Silbe" bis zum Punkt die gleiche ist. Wenn du diese Dateien findest, lade sie bitte (alle 5) hierhin hoch: Upload malicious software.

Wenn du damit fertig bist, scanne deinen Rechner mit mindestens 3 Online Scannern, nimm am besten die ersten drei und noch einen dazu. Boote dein System nach jedem Scan neu. Lass dir Zeit für die Scans, Panda dauert einige Stunden, da er sehr gründlich und tief scannt. Stelle alle Funktionen an, bei den Scans. Teile uns die Ergebnisse der Scans mit:

* http://housecall.trendmicro.com
* Panda ActiveScan
* http://www3.ca.com/virusinfo/virusscan.aspx
* http://bitdefender.com/scan/licence.php
* http://www.windowsecurity.com/trojanscan/
* McAfee FreeScan
* eTrust Antivirus Web Scanner
* F-Secure Online Virus Scanner
* Command on Demand
* Symantec Security Check