folgendes Problem: Mein Virenscanner von nod32 weist mich auf zwei Viren hin. Zum einen crypt.win32, möglicherweise unbekannter Virus und zum anderen Win32/Rbot.Amw Trojaner. würde mich über sinnvolle hilfe sehr freuen. Gleichzeitig als Anhang mein HijackThis Logfile. Bitte auswerten........

Poste das Log ... dann wird es übersichtlicher ...

logisch, hier mein log

Logfile of HijackThis v1.98.2
Scan saved at 20:56:13, on 04.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Eset\nod32kui.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Dokumente und Einstellungen
\Eigene Dateien\HijackThis.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Virtual DAEMON] daemon.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101748904952
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAA360B5-6BDE-41BD-A19C-B6F0F8ADC2CE}: NameServer = 212.122.137.24 195.185.185.195

Poste mal den genauen Pfad denn NOD32 dir zur besagten Malware ausgegeben hat.

hier mein nod32-logZeit Modul Objekt Name Virus Aktionen Nutzer Details
04.12.2004 20:25:55 AMON Datei C:\System Volume Information\_restore{3C70E340-406F-4F0E-A5A4-7AB8E441AC4E}\RP69\A0016806.exe CRYPT.WIN32 Virus möglicherweise unbekannter Virus gelöscht NT-AUTORITÄT\SYSTEM
04.12.2004 18:54:53 AMON Datei C:\System Volume Information\_restore{3C70E340-406F-4F0E-A5A4-7AB8E441AC4E}\RP69\A0016796.exe CRYPT.WIN32 Virus möglicherweise unbekannter Virus gelöscht NT-AUTORITÄT\SYSTEM
04.12.2004 16:24:01 AMON Datei C:\System Volume Information\_restore{3C70E340-406F-4F0E-A5A4-7AB8E441AC4E}\RP69\A0016795.exe CRYPT.WIN32 Virus möglicherweise unbekannter Virus unbenannt in C:\System Volume Information\_restore{3C70E340-406F-4F0E-A5A4-7AB8E441AC4E}\RP69\A0016795.Vexe NT-AUTORITÄT\SYSTEM
04.12.2004 15:18:53 AMON Datei C:\System Volume Information\_restore{3C70E340-406F-4F0E-A5A4-7AB8E441AC4E}\RP69\A0016795.exe CRYPT.WIN32 Virus möglicherweise unbekannter Virus NT-AUTORITÄT\SYSTEM
03.12.2004 15:38:11 AMON Datei C:\System Volume Information\_restore{3C70E340-406F-4F0E-A5A4-7AB8E441AC4E}\RP59\A0014702.exe Win32/Rbot.AMW Trojaner gelöscht NT-AUTORITÄT\SYSTEM
03.12.2004 13:57:27 AMON Datei C:\System Volume Information\_restore{3C70E340-406F-4F0E-A5A4-7AB8E441AC4E}\RP59\A0014513.exe Win32/Rbot.AMW Trojaner gelöscht NT-AUTORITÄT\SYSTEM

Hallo André77,

Dein Betriebssystem ist nicht mit dem aktuellen Service Pack versehen.

NOD32 ist eigentlich absolut zuverlässig. Du kannst natürlich Dein System zusätzlich im abgesicherten Modus mit NOD32 oder mit dem eScan - wie in der Anleitung beschrieben - scannen.

Bleibt zu hoffen, dass NOD32 den Wurm "Win32/Rbot.AMW" rechtzeitig und sofort bei Ankunft auf Deinem Rechner gelöscht hat. Sonst ist Dein System kompromittiert und in fremder Hand ... schaust Du hier: Backdoor.Win32.Rbot.gen.

Wenn Du auf Nummer sicher gehen willst, solltest Du Dein System formatieren und analog Lutz Empfehlung zur Datensicherung und Cidre's Rat neu aufsetzen.

Zitat:

Zitat von Cidre

Es sieht so aus, als wären viele Backdoor Trojaner auf diesem System aktiv gewesen, daher lautet meine Empfehlung bei dieser derartigen Durchseuchung: Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

SD

Hallo Shadowdance,

ich danke vorerst für die Hilfe und bin natürlich entsetzt, dass ich den Tip erhalte, das SYstem neu aufzusetzten. Habe nochmal escan drlüber laufen lassen. Erhalte den Hinweis auf einen Virus: ml-cleanup.exe tagged as-not-a-virus.Tool.Win32.Reboot.No action taken. was nun?habe übrigens versucht, pack 2 runterzuladen. klappte nicht. weiß leider nicht warum, aber habe original xp. superkrise.............

nachtrag: habe nod32 im abgesicherten modus scannen lassen und er findet nix. etwas kurios, denn ich erhalte in unregelmäßigen abständen immer wieder hinweise von nod32 wie im log geposted.

Deaktiviere die Systemwiederherstellung, starte neu und scanne dann nochmal mit NOD.
http://www.systemwiederherstellung-d...indows-xp.html

Download, wenn du DSL hast:
http://www.microsoft.com/downloads/d...5-9E368D3CDB5A