Symantec AntiVirus, Fehlermeldung: W32.Ramnit!

04.08.2010, 10:48

Hallo,

hab mal wieder ein Problem mit meinem Rechner. Da es sich um einen ehemaligen Geschäftsrechner handelt und ich keine Admin Rechte bekommen habe konnte ich leider auch nicht von SP2 auf SP3 wechseln.

OK, nun zu meinem Problem:

1. Laufwerk rattert ca. alle 10 sec. ganz komisch
2. Rechner langsam, manchmal geht gar nix mehr
3. Fehlermeldung von meinem Anti Viren Programm (Symantec): W32.Ramnit!

Was benötigt ihr zur Auswertung?

Wäre nett wenn mir jemand helfen kann.

Danke.

04.08.2010, 11:32

Zitat von biene10

hab mal wieder ein Problem mit meinem Rechner. Da es sich um einen ehemaligen Geschäftsrechner handelt und ich keine Admin Rechte bekommen habe [...]

Nur damit ich das richtig verstehe. Das ist ein Rechner, der vorher mal "deiner" Firma gehört hat, ausgemustert wurde und nun dir gehört? Oder ist das immer noch ein Rechner, der in der Firma bzw. für die Firma genutzt wird?

04.08.2010, 11:38

Ja das ist ein ausgemusterter Rechner, er gehört mir.

04.08.2010, 11:51

Dann solltest du Windows neu installieren, damit du Administratorrechte bekommst. Dann hast du ein sauberes System (also keine Viren mehr) und es dürfte auch wieder angenehm schnell sein.

04.08.2010, 11:55

Mal abgesehen davon das Spyx recht hat, denn man kann nur mit einem Rechner vernünftig arbeiten auf den man auch kompletten Zugriff hat - das "rattern" kann auch von der im Hintergrund laufenden Dateiindizierung kommen, diese kann man aber abschalten.

LG

04.08.2010, 11:58

Würde gerne eine Logfile erstellen und posten, vielleicht kann man ja noch was machen.
Wär das ok?

04.08.2010, 12:03

Das kannst du selbstverständlich tun.

Ich habe gerade mal nach deinem gemeldeten Virus gegoogelt. Das scheint ein echt fieses Ding zu sein, der alle *.exe und *.dll befällt.

Du solltest auf jeden Fall schnellstmöglich deine Nutzdaten sichern.

LG

04.08.2010, 12:38

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:39, on 04.08.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\AccSys\accsvc.exe
C:\WINDOWS\system32\CoCSrvce.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sav\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\daimlerchrysler\admin.net pcp\dcx.pcp.client.service.exe
C:\Program Files\Sav\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.ex e
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\system32\CoCInst.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\Sav\VPTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Sav\Rtvscan.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://intra.daimlerchrysler.com/search/search_g.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = https://browsercfg.edc.daimlerchrysle...nstall-001.ins
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\progr am files\microsoft\desktoplayer.exec:\windows\system3 2\appconf32.exe,,c:\program files\wlan monitor\wlconfigsrv.exe,c:\progra~1\symantec\liveu p~1\lucoms~1srv.exe
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\iebho.dll
O2 - BHO: Adobe PDF Reader Link Helper - {F22C37FD-2BCB-40b6-A12E-77DDA1FBDD88} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DelTemp] C:\Program Files\Service\DelTemp\DelTemp.exe /hidden
O4 - HKLM\..\Run: [Userinfo] C:\Program Files\Service\userinfo\userinfo.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Sav\VPTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [wlconfig] "C:\Program Files\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [{CE938794-E2E3-82F4-F74A-388A2A3549C9}] "C:\Documents and Settings\a_wolf\Application Data\Yhla\soid.exe"
O4 - HKCU\..\Run: [LGMobileSyncLauncher] C:\Program Files\LG PC Suite II\LG_MobileSync_Launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1482476501-1450960922-725345543-34032\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'EMEA_s_SWSvc')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .NPSSView: C:\PROGRA~1\SEAGAT~1\Viewers\ACTIVE~1\npssview.dll
O14 - IERESET.INF: START_PAGE_URL=https://intra.daimlerchrysler.com
O15 - Trusted Zone: *.mercedes-benz.t-online.de
O15 - Trusted Zone: *.mercedes-benz.t-online.de (HKLM)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_13) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O17 - HKLM\Software\..\Telephony: DomainName = str.daimlerchrysler.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Program Files\Common Files\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: CoC Client Installservice (CoCInstallservice) - Daimler Chrysler - C:\WINDOWS\system32\CoCInst.exe
O23 - Service: CoC Client Service (CoCService) - DaimlerChrysler - C:\WINDOWS\system32\CoCSrvce.exe
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - International Business Machines Corporation - C:\Program Files\IBM\SQLLIB\BIN\db2jds.exe
O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - C:\Program Files\IBM\SQLLIB\BIN\db2sec.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Sav\DefWatch.exe
O23 - Service: OracleDCOraClClientCache - Unknown owner - C:\Program Files\Oracle\DCOraCl\BIN\ONRSD.EXE
O23 - Service: Admin.NET PCP (PCPClientService) - DaimlerChrysler TSS GmbH - c:\program files\daimlerchrysler\admin.net pcp\dcx.pcp.client.service.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Sav\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Sav\Rtvscan.exe
O23 - Service: Windows Management Instrumentation winmgmtTrkWks (winmgmtTrkWks) - Unknown owner - C:\WINDOWS\system32\5b5ed9cf-f.exe

--
End of file - 8748 bytes

Wenn nötig kann ich die Logfile auch gerne noch im abgesicherten Modus posten.

Danke erstmal.

04.08.2010, 13:30

Moin,
ich schließe mich dem Rat von *Spyx* an. Mit einer Neuinstallation vom BS mit Admin-Rechten bist du in der Lage, an das SP3 zu kommen. Selbst wenn es gelingt, das jetzige System zu säubern, hast du in Zukunft ein nicht mehr gewartetes System, da der Support für XP mit SP2 eingestellt ist.
Zum Logfile:
Dieser Eintrag ist äußerst schädlich und muss gefixt werden:

O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\system32\iebho.dll

Diese *.dll musst du zusätzlich im Explorer aufspüren und manuell löschen.

Das ist überflüssig - fixen! >>>

O2 - BHO: Adobe PDF Reader Link Helper - {F22C37FD-2BCB-40b6-A12E-77DDA1FBDD88} - (no file)

Ob du diesen Bezug zu Daimler noch brauchst, musst du entscheiden:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com

O17 - HKLM\Software\..\Telephony: DomainName = str.daimlerchrysler.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com

O23 - Service: Admin.NET PCP (PCPClientService) - DaimlerChrysler TSS GmbH - c:\program files\daimlerchrysler\admin.net pcp\dcx.pcp.client.service.exe

Also beiß in den sauren Apfel, sicher deine Daten und installiere neu. Auch dein IE ist veraltet. Bei einem Neuanfang solltest du gleich an eine Alternative dazu denken, wie den Firefox von Mozilla.
Für Symantec/Norton gilt das Gleiche.

04.08.2010, 13:56

soweit hat alles geklappt, nur beim manuellen Löschen von iebho.dll im Explorer bekomme ich die Meldung "Zugriff verweigert".
Was soll ich machen?

04.08.2010, 14:11

Zitat von biene10

soweit hat alles geklappt, nur beim manuellen Löschen von iebho.dll im Explorer bekomme ich die Meldung "Zugriff verweigert".
Was soll ich machen?

Windows neu installieren. Es gibt ansonsten keine Chance, an die Berechtigungen zu kommen. (Ich gehe jetzt mal davon aus, dass die IT-Abteilung ordentliche Arbeit geleistet hat.)

04.08.2010, 14:11

versuche es im abgesicherten Modus noch mal.

04.08.2010, 14:42

Zitat von schmidtchen

versuche es im abgesicherten Modus noch mal.

Wenn das ein ehemaliges Firmengerät ist, dann gibt es keine lokalen Nutzerkonten und somit auch kein verstecktes Administratorkonto.

05.08.2010, 09:25

Guten Morgen,

konnte die.dll im abgesicherten Modus löschen.
Hab dan gleich nochmal eine Logfile mit HjackThis erstellt.
Anschließend einen Quick Scan mit Malwarebytes Anti-Malware, infizierten Objekte gelöscht und auch eine Logfile erstellen lassen.

Vielleicht findet ihr ja noch was.
Wär schön wenn es ohne Neuinstallation von Windows gehen könnte, hab keine Ahnung wie so was geht.

Hier die Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:44:44, on 05.08.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://intra.daimlerchrysler.com/search/search_g.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = https://browsercfg.edc.daimlerchrysle...nstall-001.ins
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\progr am files\microsoft\desktoplayer.exec:\windows\system3 2\appconf32.exe,,c:\program files\wlan monitor\wlconfigsrv.exe,c:\progra~1\symantec\liveu p~1\lucoms~1srv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DelTemp] C:\Program Files\Service\DelTemp\DelTemp.exe /hidden
O4 - HKLM\..\Run: [Userinfo] C:\Program Files\Service\userinfo\userinfo.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Sav\VPTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [wlconfig] "C:\Program Files\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [{CE938794-E2E3-82F4-F74A-388A2A3549C9}] "C:\Documents and Settings\a_wolf\Application Data\Yhla\soid.exe"
O4 - HKCU\..\Run: [LGMobileSyncLauncher] C:\Program Files\LG PC Suite II\LG_MobileSync_Launcher.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ntuser_mssec.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ntuser_mssec.exe (User 'Default user')
O4 - Startup: ntuser_mssec.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .NPSSView: C:\PROGRA~1\SEAGAT~1\Viewers\ACTIVE~1\npssview.dll
O14 - IERESET.INF: START_PAGE_URL=https://intra.daimlerchrysler.com
O15 - Trusted Zone: *.mercedes-benz.t-online.de
O15 - Trusted Zone: *.mercedes-benz.t-online.de (HKLM)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_13) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O17 - HKLM\Software\..\Telephony: DomainName = str.daimlerchrysler.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Program Files\Common Files\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: CoC Client Installservice (CoCInstallservice) - Daimler Chrysler - C:\WINDOWS\system32\CoCInst.exe
O23 - Service: CoC Client Service (CoCService) - DaimlerChrysler - C:\WINDOWS\system32\CoCSrvce.exe
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - International Business Machines Corporation - C:\Program Files\IBM\SQLLIB\BIN\db2jds.exe
O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - C:\Program Files\IBM\SQLLIB\BIN\db2sec.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Sav\DefWatch.exe
O23 - Service: OracleDCOraClClientCache - Unknown owner - C:\Program Files\Oracle\DCOraCl\BIN\ONRSD.EXE
O23 - Service: Admin.NET PCP (PCPClientService) - DaimlerChrysler TSS GmbH - c:\program files\daimlerchrysler\admin.net pcp\dcx.pcp.client.service.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Sav\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Sav\Rtvscan.exe
O23 - Service: Windows Management Instrumentation winmgmtTrkWks (winmgmtTrkWks) - Unknown owner - C:\WINDOWS\system32\5b5ed9cf-f.exe

--
End of file - 7275 bytes

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4391

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

05.08.2010 09:03:39
mbam-log-2010-08-05 (09-03-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167858
Laufzeit: 15 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\linkrdr.aiebho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.aiebho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Temp\359.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\E1B.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Documents and Settings\EMEA_S_SWSVC\Application Data\dhxiuw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\Application Data\dhxiuw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\a_wolf\Start Menu\Programs\Startup\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\ntuser_mssec.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AcroIEHelpe.dll (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\ie1B.tmp (Malware.Trace) -> Quarantined and deleted successfully.

Danke,
bis später

05.08.2010, 10:09

Moin,
du hast jetzt im 'abgesicherten Modus' gescannt. Ob das sich auf das andere Ergebnis ausgewirkt hat? Die schädliche Datei ist weg. Aber jetzt tauchen 3 neue Dinge auf, die auch im abgesicherten Modus gefixt werden sollten:

O4 - S-1-5-18 Startup: ntuser_mssec.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: ntuser_mssec.exe (User 'Default user')

O4 - Startup: ntuser_mssec.exe

Ich wage dazu keine weitergehende Aussage, denn die von *Spyx* angesprochene Situation 'Firmen-Rechner' kann ich auch nicht einschätzen. Es taucht der Begriff Intranet/Daimler auf als würde noch eine Verbindung zum firmeninternen Netzwerk bestehen.
Im Log von Malwarebytes taucht 'Rootkit' auf. Obwohl 'Quarantined and deleted successfully', gehen bei mir dabei sämtliche Warnlampen an.
Den IE hast du noch nicht auf Vers.8 erneuert. Und beim Installieren des SP3 wirst du sicher vor dem alten Problem stehen.
Nach wie vor ist deshalb eine Neuinstallation die beste Wahl.
Hast du einen Produkt-Key von XP oder stammt das aus einer Mehrfachlizenz der Firma? Kannst du dich nicht einfach mit der IT-Abt. ins Benehmen setzen? Letzten Endes müssten doch diejenigen, die die Überlassung veranlasst haben auch daran gedacht haben, wie der neue Besitzer damit umgehen kann.

08.08.2010, 16:44

Hallo,

werde jetzt wohl doch in den sauren Apfel beißen und alles platt machen und dann alles neu installieren. Weiß aber leider nicht wie das geht. Kann mir dabei jemand helfen, oder weiß jemand wo ich Infos herbekomme?
Meine wichtigsten Daten (Bilder, Briefe,...) kann ich doch auf eine USB Stick kopieren, und dann auf der DOS Ebene alles platt machen?

Danke!

Hab die 3 Sachen gefixt. Hier die neue Logfile.
Leider hab ich keinen Ansprechpartner mehr.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:06:50, on 08.08.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://intra.daimlerchrysler.com/search/search_g.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = https://browsercfg.edc.daimlerchrysle...nstall-001.ins
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,c:\prog ram files\common files\accsys\accsvcsrv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DelTemp] C:\Program Files\Service\DelTemp\DelTemp.exe /hidden
O4 - HKLM\..\Run: [Userinfo] C:\Program Files\Service\userinfo\userinfo.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Sav\VPTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [wlconfig] "C:\Program Files\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [{CE938794-E2E3-82F4-F74A-388A2A3549C9}] "C:\Documents and Settings\a_wolf\Application Data\Yhla\soid.exe"
O4 - HKCU\..\Run: [LGMobileSyncLauncher] C:\Program Files\LG PC Suite II\LG_MobileSync_Launcher.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .NPSSView: C:\PROGRA~1\SEAGAT~1\Viewers\ACTIVE~1\npssview.dll
O14 - IERESET.INF: START_PAGE_URL=https://intra.daimlerchrysler.com
O15 - Trusted Zone: *.mercedes-benz.t-online.de
O15 - Trusted Zone: *.mercedes-benz.t-online.de (HKLM)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_13) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O17 - HKLM\Software\..\Telephony: DomainName = str.daimlerchrysler.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = str.daimlerchrysler.com
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Program Files\Common Files\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: CoC Client Installservice (CoCInstallservice) - Daimler Chrysler - C:\WINDOWS\system32\CoCInst.exe
O23 - Service: CoC Client Service (CoCService) - DaimlerChrysler - C:\WINDOWS\system32\CoCSrvce.exe
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - International Business Machines Corporation - C:\Program Files\IBM\SQLLIB\BIN\db2jds.exe
O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - C:\Program Files\IBM\SQLLIB\BIN\db2sec.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Sav\DefWatch.exe
O23 - Service: OracleDCOraClClientCache - Unknown owner - C:\Program Files\Oracle\DCOraCl\BIN\ONRSD.EXE
O23 - Service: Admin.NET PCP (PCPClientService) - DaimlerChrysler TSS GmbH - c:\program files\daimlerchrysler\admin.net pcp\dcx.pcp.client.service.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Sav\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Sav\Rtvscan.exe
O23 - Service: Windows Management Instrumentation winmgmtTrkWks (winmgmtTrkWks) - Unknown owner - C:\WINDOWS\system32\5b5ed9cf-f.exe

--
End of file - 6576 bytes

08.08.2010, 20:06

Dein Logfile ist soweit sauber bis auf diese Daimler Geschichten. Die sollten aber nicht stören.

Du hast aber zwei Virenscanner installiert und das ist nicht gesund. Einen solltest du entfernen.

Zur Neuinstallation: Du benötigst eine Windows CD, alles andere geht wie von selbst. Und natürlich alle CDs oder Dateien von den Programmen die du brauchst.

Deinen Datenbestand kannst du auf USB-Sticks sichern. Denk aber auch an solche Sachen wie E-Mailadressen und Mails....

Hast du noch einen anderen Rechner mit Internet zur Verfügung damit wir dir zur Not weiterhelfen können ?

Denn du musst ja nach der Windowsinstallation noch deinen Internetzugang wieder einrichten. Vorher kannst du mit uns ja nicht kommunizieren.

LG

09.08.2010, 07:57

Guten Morgen,

bekomme immernoch die Fehlermeldung W32 Ramnit!
Auch sonst hat sich leider nichts verbessert. Musste gestern öfters Stromstecker ziehen, es ging gar nix mehr.

Werde einen Laptop ausleihen, klar ich brauch ja das Internet, ohne euch schaff ich das nicht.

Dann werde ich jetzt mal alles was ich nicht mehr brauche löschen, kann ich dann die komplette Festplatte kopieren, oder ist es besser wenn ich die Ordner einzeln kopiere?

Wie schaut es mit Viren aus, sind die dann nicht automatsch mitkopiert?

Danke.

09.08.2010, 08:51

Moin,

bekomme immernoch die Fehlermeldung W32 Ramnit!

Vergiss alle Bereinigungsversuche, eine Neuinstallation ist zwingend notwendig.

....kann ich dann die komplette Festplatte kopieren....
Wie schaut es mit Viren aus, sind die dann nicht automatsch mitkopiert?

NEIN, wenn du die Festplatte kopierst, hast du alles, auch Viren auf der Kopie.
Du kopierst lediglich:
Deine 'eigenen Dateien', also Bilder, Texte usw. und, wie *Q-Max* schon erwähnte, auch deine Mailadressen, weil die in einem anderen Ordner liegen. (Letzteres hängt davon ab, welches Mailprogramm du benutzt)
Von Programmen, wenn über das Internet gekauft, notierst du den Registrierungs-Code oder du hast sie auf CD. Frei verfügbare Programme holst du dir später wieder.
Nach dem Sichern startest du von der XP-CD und nach der Option 'Installieren' erfolgt in der Abfolge 'Formatieren'
Mit deinem Parallel-Rechner bleiben wir in Kontakt bei den nachfolgenden Schritten oder bei auftretenden Unklarheiten.

15.08.2010, 21:34

Hallo,

Neuinstallation hat funktioniert.
Leider fehlen 2 Treiber.
Habe im Gerätemanager nachgeschaut, es wird mir angezeigt:
Ethernet Controller?
Multi Media Controller?

Komme also nicht ins Internet.

Woher bekomme ich die richtigen Treiber?

Meine Rechnerdaten:
HP Compaq Base
Model: d 530
Intel Prozessor

Habe den Rechner heute geöffnet und gesehen, daß alle Zugänge auf eine große Platine gehen, ansonsten ist nur noch eine kleine zusätzliche Grafikkarte vorhanden.

Habe auch schon im Internet nach Motherboard oder Onboard Treibern gesucht aber nichts gefunden.

Wer kann mir helfen?

Danke.

15.08.2010, 22:29

Schau mal auf das Typenschild des Rechners und schreib alles ab.

dann finden wir auch Treiber dafür.

LG

18.08.2010, 10:47

Hallo,

habe jetzt im Internet die passenden Treiber gefunden und heruntergeladen. Es hat funktioniert.

Habe noch eine Frage zu Virenschutzprogrammen. Könnt Ihr mir ein gutes ( wenns geht kostenlos) empfehlen?

Danke.

18.08.2010, 11:37

Moin,
der Begriff 'gut' ist eine subjektive Einschätzung. Jeder findet das gut, welches er selber benutzt.
Der Meinungsstreit geht eher über 'kostenlos' oder 'gekauft.'
Hier ist die häufigste Nennung 'AntiVir personal' >
https://www.eforum.de/avira_antivir_s...us_t11827.html

Symantec AntiVirus, Fehlermeldung: W32.Ramnit!

Symantec AntiVirus, Fehlermeldung: W32.Ramnit!

Ähnliche Themen

Kein INTERNET unter Vista????? Symantec Problem?

RemoteControll o. Symantec pcAnywhere?

Symantec kauft Sygate

symantec oder gdata?

Symantec Problem Internet Security