Brauche dringend Hilfe! Mr.Bean.Laden.worm.attacked

Begonnen von LoEcKcHeN, 29. September 2005, 14:48:48 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

LoEcKcHeN

Ich hab gesehn das es hier schon nen tread darüber gibt, aba da versteh ich irgendwie nich richtig was ich machen soll...

also mein problem is, dass sich immer wenn ich mein pc hochfahr so nen bild öffnet, wo ne mischung aus mr bean und bin laden drauf is. Dann is da auch noch so ne medung wo man nur auf ok klicken kann und wenn ich das tue, dann krieg ich davon noch mindenstens 30 stück die sich auf dem ganzen bildschirm verteilen und ich muss jeden einzeln wegklicken und das wiederholt sich dann immer weiter.. bis ich dann rausgefunden hab, das sich noch was anderes öffnet, wo irgendwas mit windows update steht.. ich weis nich ob das jetzt irgendwas bedohliches ist oder nicht und hoffe mal das einer mir da vielleicht schnell helfen könnte!

Und wenns geht nen bisschen egnauer erklären was ich dann machen soll, weil ich nich so nen pc fachmann bin ;-)
Also wäre nett
Brauche dringend eure hilfe!

Danke im vorraus!!! :)

tyco

Poste mal Dein HijackThis.log.

http://www.spywareinfo.com/~merijn/downloads.html
Bitte keine Supportanfragen per PM stellen.

LoEcKcHeN

Logfile of HijackThis v1.99.1
Scan saved at 18:24:11, on 29.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Windows Media Player\WMPEnc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Steffi\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yooliety.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://redirect.zonelabs.com/redirect/route?oem=1079&prod=0&mode=1&app=inclient&version=6.0.667.000&lang=de&locale=de-DE&date=-86400&link_id=4&dest=whats_new
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll (file missing)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll (file missing)
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Startup: Windows Update.lnk = C:\WINDOWS\abc.bat
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127408629237
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127408614128
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95B9EBEA-FB50-45EE-A5CE-568DD8B17EB1}: NameServer = 212.62.64.34 212.62.68.34
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


tyco

Fixe mal folgendes:

O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll (file missing)

O3 - Toolbar: VisuExplorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\system32\msiev32.dll (file missing)

O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE

O4 - Startup: Windows Update.lnk = C:\WINDOWS\abc.bat

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{95B9EBEA-FB50-45EE-A5CE-568DD8B17EB1}: NameServer = 212.62.64.34 212.62.68.34

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Wobei das eigentliche Problem die C:\WINDOWS\abc.bat ist. Die musst Du im abgesicherten Modus löschen und vor einem Neustart den Papierkorb leeren.
Bitte keine Supportanfragen per PM stellen.

LoEcKcHeN

Hab ich jetzt gemacht. abgesicherter modus is das das ich einfach nich mitn internet verbunden bin? oda was???

LoEcKcHeN

wollte die jetzt löschen, aba irgendwie gibts bei mir keine datei C:\WINDOWS\abc.bat
????

tyco

Ändere mal im Explorer > Extras > Ordneroptionen > Ansicht folgendes:

Geschützte Systemdateien ausblenden (Haken entfernen)

Versteckte Dateien und Ordner ausblenden (ebenfalls Haken entfernen)

Wird die abc.bat jetzt angezeigt?
Bitte keine Supportanfragen per PM stellen.

LoEcKcHeN

ja da werden zwei dateien abc angezeigt eine davon is dieses bild was zu anfang immer kommt.. soll ich dann das beides löschen? also ohne dann im internet zu sein oda wie??

SYSTRAY

30. September 2005, 16:13:24 Uhr #8 Letzte Bearbeitung: 30. September 2005, 16:29:45 Uhr von fineAUDIO
Abgesicherter Modus ist wenn du das System neu startest und dann F12 drückst.

Dann wählst du die folgende Option ---> Windows im abgesicherten Modus starten aus.

Dann löschst du diese beiden dateien.

(Und nicht vergessen den Papierkorb zu leeren bevor du dann wieder neu startest!)

LoEcKcHeN


LoEcKcHeN

habs drei mal probiert aba ich kan den nich im abgesicherten modus starten.. viellecht weilich xp hab??
geht jedenfalls nich . wenn ich dann F12 drück passiert nix.. kann ich das nich einfach so löschen`?? was wäre denn der unterschied?

tyco

Du musst beim Booten die Taste F8 gedrückt lassen.
Bitte keine Supportanfragen per PM stellen.

LoEcKcHeN

sorry ich bin nich so nen spezialist .. aba was is booten????

tyco

Zitat von: LoEcKcHeN am 30. September 2005, 16:34:57 Uhr
sorry ich bin nich so nen spezialist .. aba was is booten????

Wenn Du den Rechner einschaltest startet (bootet) er...dann einfach die Taste F8 gedrückt halten bis ein Auswahlmenü erscheint. Daraus wählst Du "Abgesicherten Modus" aus.
Bitte keine Supportanfragen per PM stellen.

SYSTRAY

Sorry hab ich F12 geschrieben!?!

Ja wenn du den Computer neustartest dann drück dabei die Taste F8!!!!

dann kannst das auswählen in welchem modus windows startet!!!

LoEcKcHeN


LoEcKcHeN

okay hab ich gemacht .. beim neustat war dann auch alles so wie imma.. hoffe das der jetzt weg is..

DANKE!!!

SYSTRAY

Ok. Solltest deine AntiVir und Firewall Software auch täglich updaten und immer aktive lassen solnage du im Internet bist.
Dann sollte sowas nich mehr so oft passieren.

LoEcKcHeN

ich weis seber nich wie das gekommen is.. weil mein anti virussoftware is imma an..

SYSTRAY

ja an aber auch immer up-to-date? und haste auch ne gescheite firewall? die xp firewall ist nicht grade die sicherste.

PS: bei mir ist es übrigens doch die F12 Taste für das Bootmenü. (Doch kein Fehler gemacht ;) )