ich habe seit gestern ein großes problem :( wenn ich mich mit internet explorer verbinde bekomme ich immer "die seite kann nicht angezeigt werden"... nachdem ich spybot - search & destroy durchlaufen ließ fand er folgende daten:

http://www.beepworld.de/memberdateien/members28/aleecsy/spybot.jpg


ich lösche alles und ... nach dem neustart geht das internet für 15 min und dann kommt wieder : "seite kann nicht angezeigt werden" und spybot -search & destroy findet wieder die selben dateien die anscheinend nicht gelöscht wurden :(












Logfile of HijackThis v1.98.2
Scan saved at 13:57:24, on 07.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\system32\drivers\sys\SysMgnt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winitr32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\wins.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\User\Desktop\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [msconfig] wins.exe
O4 - HKLM\..\Run: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [msconfig] wins.exe
O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\RunServices: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunOnce: [Win32 Wmls Driver] winitr32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Win32 Wmls Driver] winitr32.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\RunOnce: [Win32 Wmls Driver] winitr32.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D87F458-D75C-4825-B346-FD9442799A91}: NameServer = 217.237.149.161 194.25.2.129

Wurm?

http://www.sophos.com.au/virusinfo/analyses/w32forbotc.html

soll ich sophos installieren ?

ey den hatt ich auch druff , und dann noch nen anderen der nannte sich Bloodhound.Exploit.

ich habe mein pc im abgesicherten modus hochgefahren um dann den virenscanner durchlaufen zu lassen , denn da sind die inaktiv
dann hatte ich sie weg.

Cya

PS: Wie wäre es mal mit norton ?

norton produkte (ausser ghost) sind großer mist. :kotz:

besorg dir einen trojanscanner oder den mcaffee stinger.

http://vil.nai.com/vil/stinger/

Hallo Dany,
sorry komme eben erst vom Büro.

Also im moment kann ich nix schlimmes erkennen, die mediaplex Sache und der DSO exploit sind nicht schlimm.

Geh in den Internetexplorer und lösch tempfiles.
Dann sind die ersten beiden weg.

Bei DSO exploit hat spybot mit der alten Version ein problem, mach mal ein update.
Wenns dennoch nicht geht, dann musst dir die Pfade , die in der registry angegeben sind per Hand entfernen , aber DSO ist nicht weiter schlimm.

Ich würde mal die Netzwerkkarte checken , ob die richtig drin sitzt und die Netzwerkkabel auch mal checken.

Danach solltest du mal Antivir downloaden.
Ich check mal den hijackthis logtext.
Ich meld mich dann.

ich habe mein pc im abgesicherten modus hochgefahren um dann den virenscanner durchlaufen zu lassen , denn da sind die inaktiv
dann hatte ich sie weg.

das habe ich schon probiert ... klappt nicht :-(




Wenns dennoch nicht geht, dann musst dir die Pfade , die in der registry angegeben sind per Hand entfernen


klappt auch nicht :-(

hi Dani DSO hab ich bei mir auch 5 einträge hm scheint aber auch nicht weiter schlimm zu sein ;) aber hab auch schon einiges versuch das teil weg zubekommen. :rolleyes:

[Win32 Wmls Driver] winitr32.exe ist höchstwahrscheinlich der W32/Forbot-C Wurm. Laut Prozessliste ist er aktiv!

Nachlesen kann man das unter meinem 1. Link. Dort sind auch Removal Instructions.

Kann es sein das sie doch gelöscht wurden Du aber noch einen Trojaner on board hast, der sie gleich wieder installiert wenn Du online gehst?

Naja, dann eben kurz die Beschreibung des Wurms:

This section helps you to understand how this virus behaves.
W32/Forbot-C is a worm which attempts to spread to remote network shares. The worm also contains backdoor Trojan functionality, allowing unauthorised remote access to the infected computer via IRC channels while running in the background as a service process.

auch anders ausgedrückt:
Turns off anti-virus applications
Allows others to access the computer
Reduces system security
Installs itself in the Registry
Exploits system or software vulnerabilities

andere Bezeichnungen:
Backdoor.Win32.Wootbot.c
W32/Sdbot.worm.gen.h

Zum Entfernen würde ich versuchen im abgesicherten Modus zu starten und alle Prozesse mit "winitr32.exe" zu beenden. Dann Regedit starten und alle Verweise auf "winitr32.exe" löschen. Ausserdem die Datei "winitr32.exe" überall löschen.

hi

das gleiche prob hatte ich auch

nur als ich die betreffenden dateien immunisiert bzw gelöscht hatte

waren sie nach einem neustart wieder da

ad aware und auch spy bot beide keine chance mit

bei mir half nur win neuinstallation

gruss dark

:lol: selber schuld... es gibt nicht umsonst die Wiederherstellungskonsole oder den Abgesicherten Modus.

und nicht vergessen dem dani noch schlechtes karma mit dem kommentar "oktron" zukommen zu lassen arzt :sli:

win neu installen würde ich wegen sowas nicht empfehlen dani :bunker:

Schei.. s doch aufs Karma wayne interressiert denn das??

Wart mal ich geb dir eben positives Karma, hab ich kein Problem mit.

Erledigt KARMA KARMA KARMA for YOU .
Ich stimme zu und gut ist.

Interessiert echt net oder?
Naja schau halt nach!
Ich hab dir positives gegeben.

Vielleicht können wir dem Frieden untereinander damit mal helfen?!

Die drei sind sauber und sind von INTEL und Mickysoft.
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\wins.exe

auch sauber

:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe

auch sauber
Druckerprozess und Antivirus

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe

auch sauber der erste ist sogar sehr wichtig

C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe


DER HIER SAGT MIR NIX

C:\WINDOWS\system32\drivers\sys\SysMgnt.exe


Ich geh erstmal auf den von Merlin erkannten ein

Der steht in folgenden Adressen in der regedit und ist zu neu um mit einem tool gecleaned zu werden, weil er die Antivirussoftware abschaltet.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe

per Hand reinigen im abgesicherten Modus.
Am besten du lässt nen spezialisten von deinen Kumpels da dran Dani,
Viel Erfolg

Cem

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 Wmls Driver = winitr32.exe




gelöscht ... aber das "SEITE KANN NICHT ANGEZEIGT WERDEN" problem BESTEHT WEITERHIN :(


Logfile of HijackThis v1.98.2
Scan saved at 11:48:27, on 09.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\system32\drivers\sys\SysMgnt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\wins.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\User\Desktop\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [msconfig] wins.exe
O4 - HKLM\..\Run: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\RunServices: [msconfig] wins.exe
O4 - HKLM\..\RunServices: [Microsoft Time Manager] dveldr.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D87F458-D75C-4825-B346-FD9442799A91}: NameServer = 217.237.149.161 194.25.2.129

natürlich interessiert es nicht sepuku ... wenn allerdings kommentare wie "du bist in oktron" dabeistehen ... naja war ja nur auf arzt bezogen ;)

ich hoffe dass dani den shit bald mal unter kontrolle kriegt :(

Starte deinen PC im abgesicherten Modus und lasse deinen Virenscanner mit den neuesten Virensignaturen laufen.
Du solltest auch die System Restore Funktion deaktivieren: http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam

ps.: PDSched.exe kann einen Virus enthalten, laut einigen Meldungen.

hmm

nichts gefunden :nos:

Hast du es jetzt gelöst , denn alles andere sieht sehr sauber aus.

Wenn nicht nimm mal das hier und führe aus.

http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button

grüner Knopf drücken,
Downloadfenster kommt.
Danach ausführen und scan now!
Viel Erfolg.

Wenn er fertig ist findet der auch die Quarantäne Dateien von Spybot.
Markiere alles und lösch dann zum Schluss.

Meld dich mal Dani!

jo cem thx ;) hab gestern alles formatiert :cool:

thx @ ALL ;)