meine Rechtschreibung lässt mal wieder zu wünschen übrig!!
Ich meinte:hier rein

Logfile of HijackThis v1.99.1
Scan saved at 21:58:35, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\marko & danny\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\BTORadio\ps_agent.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/073319e43893b19ad417/netzip/RdxIE601_de.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7AC980-5AC1-4C81-833E-40F2ED0590A1}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Ich hoffe das ist richtig so

ja, sehr gut!

Jetzt müssen wir nur noch den Fehler suchen, erkennen und da bin ich ehrlich, das fällt mir auch schwer!
Entweder wir warten da noch auf Hilfe, oder Du gehst das Prob selbst an!
Das können wir auf 2 verschiedene Weise angehen....

1. Möglichkeit: Du wertest dein Log-File selbst aus, http://www.hijackthis.de/de und wendest Dich dann ,wenn Probleme entstehen zur Auswertung an die dort angegebenen Foren, oder kopierst es direkt hier rein....http://www.trojaner-board.com/showthread.php?t=17493....dort wirst Du sicherlich auch weiter geholfen.

Sorry, das ich nicht weiter helfen kann.

Gruß Rolli

O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

Name W32/Rbot-LK
Typ

* Wurm

Verbreitungsweise

* Netzwerkfreigaben

Anfällige Betriebssysteme

* Windows

Nebeneffekte

* Schaltet Antiviren-Anwendungen aus
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Reduziert die Systemsicherheit
* Speichert Tastenfolgen
* Installiert sich in der Registrierung


Gruß Donald

danke Donald!

Rolli, gemeinsam sind wir stark.

Gruß Donald

@Donald: Genau ;)


Die Logfile sieht so schlecht nicht aus, bis auf den Wurm:

Backdoor.Rbot.U (wuamgrd.exe)

Alias: W32/Rbot-U, Backdoor.Rbot.gen, W32/Sdbot.worm.gen.h


Ist ein W32-Wurm, der sich remote über IRC-Kanäle verbreitet und sich als wuamgrd.exe
in das Windows-System kopiert.

Verbreitung über E-Mail, folgende Registrierungen werden verändert:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Update = wuamgrd.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe


Backdoor.Rbot.U versucht Antivirenprogramme zu beenden bzw. zu deaktivieren und
versucht Freigaben am Host-Computer inklusive C$, D$ und ADMIN$ etc. zu löschen unter
Verwendung folgender Registrier-Einträge:

HKLM\SOFTWARE\Microsoft\Ole\
EnableDCOM = "N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
restrictanonymous = "1"


Entfernung:

Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.

Bearbeiten der Registrierungseinträge:

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und
drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Update = wuamgrd.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Update = wuamgrd.exe

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.

greetz
DK

Guten Morgen
Oh jeh,das hört sich aber nicht gut an,oder?
Ich glaube weniger,das ich das alleine schaffe,denn sooo gut kenne ich mich nicht aus.Ich hatte gestern schon Muffe mit dem Logbericht,ob ich das alles so schaffe.
Aber ich danke Euch für die super schnellen Antworten . .
Gibt es denn keinen Tool für den Wurm?
Muß
da jetzt ein PC Fachmann ran?
Gruß
Daniela

Daniela, das schaffst Du!
Kopiere Dir das, was Deichkind geschrieben hat und drucke es aus.

Dann versuchst Du das, was er unter "Entfernung" geschrieben hat, umzusetzen.
Lass Dir Zeit und bleib ganz ruhig.
Wenn Du irgendwo nicht weiterkommst, frag hier einfach nach!

Keine Angst, was soll Dir passieren, viel schlimmer kann es doch nicht kommen.
Trau Dich!

Nubira

Hallo Daniela,
nur Mut, kann ich da nur sagen! Zum Thema "Abschalten der Systemwiederherstellung" habe ich diesen Link gefunden:
http://www.heise.de/security/artikel/39543/3#wxp
Dort ist alles erklärt (evtl. ausdrucken). Dann machst Du so weiter, wie es Deichkind beschrieben hat. Danach kannst Du die Systemwiederherstellung wieder einschalten (ist im Link beschrieben) und den Rechner neu starten.
Bei Fragen sind wir wie immer für Dich da.
MfG Carsten