[TommiK]

Hallo miteinander,

Ich hoffe Ihr könnt mir helfen.
Habe heute morgen von Antivir eine Meldung erhalten (nachdem ich es mir das aktuelle update runtergeladen hatte), daß er mehrere Dateien als Trojaner erkannt hat (oder so ähnlich).
Leider bin ich ein Laie auf diesem Gebiet.
Daraufhin, habe ich mir denn noch Ad-Aware und Trojan-Remover runtergeladen und die haben auch noch einiges entdeckt und gelöscht.
Ich habe aber irgendwie das Gefühl, daß irgendwas nicht stimmt.
Nutze WinXP und den IExplorer.

Habe jetzt einige Grafikfehler, die prompt auftauchen.(Gerade im Internetexplorer, stht jetzt oft "die Seite kann nicht angezeigt werden und wenn ich es dann 4 mal versuche klappt´s plötzlich)
Sehr sehr merkwürdig.


Habe mir auch den Thread von Rika durchgelesen.
Logfile of HijackThis v1.99.0
Scan saved at 15:36:53, on 27.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Hier mal ein Auszug : (was das übrigens bedeutet weiß ich nicht)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AnitiVir\AVGNT.EXE
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\System32\draven.exe
C:\WINDOWS\System32\p3.exe
C:\WINDOWS\System32\winmp.exe
C:\WINDOWS\System32\hess.exe
C:\WINDOWS\System32\MSNSRV32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AnitiVir\AVGUARD.EXE
C:\Programme\AnitiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AnitiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows Update Draven] draven.exe
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\Run: [MSIdll] winmp.exe
O4 - HKLM\..\Run: [wzservice] hess.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [Windows Update Draven] draven.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [MSIdll] winmp.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Windows Update Draven] draven.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNSRV32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105306602665
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D36260E-F686-4C4C-AD0B-7203ECF677D9}: NameServer = 213.191.92.87 213.191.74.18
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AnitiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AnitiVir\AVWUPSRV.EXE

Nun die Frage, wenn ich mein Betriebssystem (welches sich auf C: befindet) neu aufspiele (nachdem ich es formatiert habe)
Kann ich dann gefahrlos das Virenprogramm welches ich auf einer anderen Partition (D:) habe nutzen ?
Oder besteht, die Gefahr, daß dieses selber auch schon (wie soll ich sagen) befallen ist ?
Wie sieht es mit eigenen Dateien auf anderen Partitionen aus ?

Oder empfiehlt Ihr mir, alles zu löschen ?

Ich hoffe Ihr könnt einem Ahnungslosen weiter helfen :-)


mfg
Tommi
P.s.
Sorry für ein wenig durcheinander.

[pSyCHo_SolDiEr]

Hier deine Auswertung.

So verseucht wie das System ist, und nachdem du ja Rika's Thread's gelesen hast weißt du ja hoffentlich was das bedeutet.

Format C:

EDIT.: Sry hab nicht ganz fertig gelesen. Natürlich kann es sein das andere Dateien auch befallen sind. Jedoch probieren kannst du es mal. Nach Neu-Install, scannst du am besten mal deine andere Platte und dann siehst du ja wie es aussieht.

Dieser Beitrag wurde von pSyCHo_SolDiEr bearbeitet: 27. Januar 2005 - 16:00

[flo]

Also du hast den hier noch drauf

Backdoor.Win32.Rbot


Da hilft nur Formatieren!

Du solltest auch dann den SP2 installieren, und alle Updates für den!

Und diese Anleitung beachten nachdem du den Rechner neu gemacht hast

Rechner sichern

Edit: Da war einer schneller

Dieser Beitrag wurde von Flo01 bearbeitet: 27. Januar 2005 - 16:00

[TommiK]

Besten Dank für die raschen Antworten


@Flo01 "backdoor...." konntest Du das anhand dieses logfiles erkennen ?
Ist wohl ein sehr hartnäckiger Virus (nur rein interessehalber) ?

Ja dann werde ich heute abend mal alles neuinstallieren und dann mich erstmal mit Virenprogrammen ausstatten.

Eins alleine hat ja nicht geholfen.

[flo]

schau dir mal die Autoauswertung an die pSyCHo_SolDiEr gepostet hat,

da steht es sogar bei einem der Bösen einträge Drunter, und wenn du den Pfad bei Google eingibst findest du es auch ganz schnell!

Backdoor , damit ist gemeint das eine Hintertür in dein Sys eingebaut wird, wo dann jeder der weiß das die Bei dir da ist, mit deinem rechner machen kann was er will

[TommiK]

jo dann besten nochmals Danke (Zeit zum runterfahren)

[PanteraBM]

Hol dir noch eine Backupsoftware, nach dem Einrichten des System erstellst du ein Image deiner Platte. Optimalerweise machst du min. 3 Partitionen; Systempartition mit Programmen, Dateien und sonstige Files Partition sowie eine für das Image(falls du nicht noch eine extra Festplatte hast). Damit wäre solch ein Fall in Zukunft kein Problem mehr.