...ok, ich glaube ich habe es jetzt beisammen Ich bin für jeden Tipp, der nichts mit "alles Löschen" (zumindest in den nächsten Tagen/Wochen) zu tun hat...

Hier sind sie, die "Bösen":

=> File C:\WINDOWS\System32\wjserb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\wjservb.exe possibly infected and removed by background antivirus package!

File C:\WINDOWS\System32\wjservb.exe infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\cpuinf32.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\tinybar.exe infected by "TrojanDownloader.Win32.IstBar.dz" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\cpuinf32.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\wjserb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\wjserc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\wuamgrd1.exe possibly infected and removed by background antivirus package!

C:\WINDOWS\System32\wuamgrd1.exe infected by "BkCln.Unknown" Virus. Action Taken: No Act

C:\Programme\AVPersonal\INFECTED\*.*

C:\Programme\AVPersonal\INFECTED\A0000476.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000476.EXE.VIR infected by "Trojan.Win32.StartPage.y" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\A0000478.EXE.VIR

File C:\Programme\AVPersonal\INFECTED\A0000478.EXE.VIR infected by "TrojanDownloader.Win32.Dluca.m" Virus. Action Taken: No Action Taken.

Scanning File C:\Programme\AVPersonal\INFECTED\A0000479.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000479.EXE.VIR infected by "Worm.Win32.Welchia.b" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\A0000514.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000514.EXE.VIR infected by "Worm.Win32.Sasser.a" Virus. Action Taken: No Act

C:\Programme\AVPersonal\INFECTED\A0000516.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000516.EXE.VIR infected by "TrojanDownloader.Win32.IstBar.dx" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\avserve.VIR

C:\Programme\AVPersonal\INFECTED\avserve.VIR infected by "Worm.Win32.Sasser.a" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\bootconf.VIR

C:\Programme\AVPersonal\INFECTED\bootconf.VIR infected by "Trojan.Win32.StartPage.y" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\istsvc.VIR

C:\Programme\AVPersonal\INFECTED\istsvc.VIR infected by "TrojanDownloader.Win32.IstBar.dx" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\JGHJ.EXE.VIR

C:\Programme\AVPersonal\INFECTED\JGHJ.EXE.VIR infected by "TrojanProxy.Win32.Ranky.ao" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\mscnt.VIR

C:\Programme\AVPersonal\INFECTED\mscnt.VIR infected by "TrojanDownloader.Win32.Dluca.m" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\snlogsvc.VIR

C:\Programme\AVPersonal\INFECTED\snlogsvc.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\WBK10.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK100F.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK1016.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK1052.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK1059.TMP.VIR [**]
Sun Dec 19 12:57:51 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBK1086.TMP.VIR [**]
Sun Dec 19 12:57:51 2004 => Scanning File

Und hier Teil 2 der "Bösen":



C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP92\A0007593.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP98\A0007913.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\cpuinf32.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\wjserb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\wjserc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\tinybar.exe infected by "TrojanDownloader.Win32.IstBar.dz" Virus. Action Taken: No Action Taken.

C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\tinybar.exe infected by "TrojanDownloader.Win32.IstBar.dz" Virus. Action Taken: No Action Taken.

...es gibt dann noch eine Latte Sätze, in einem Programm namens AVPersonal. Ich denke mal, es ist ein Virenprogramm und enthält lediglich das Wort "Infected", oder? Hier ein Beispiel (sind sehr viele...)

C:\Programme\AVPersonal\INFECTED\WBKF5.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF51.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF60.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF67.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF95.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File

Ich kann dir leider keine andere Empfehlung geben, als die dein System neu aufzusetzen, denn nur so kannst du wieder einen vertrauenswürdigen Zustand herstellen.
Cidre's Rat zum formatieren
Lutz über Datensicherung
Pflichtlektüre
Entfernung von Schädlingen
Hier hat Shadowdance noch einen schönen Post zum RBot verfasst.

Hallo,
vielen Dank für den Tipp. Ich werde dies auch tun, allerdings ist es momentan nicht möglich, da ich meinen PC im Moment so brauche (ich betreibe div. Webseiten). Daher würde ich ein virtuelles Bier ausgeben, wenn Du mir einen Rat wegen dem Explorer-Problem geben könntest, bis ich diesen ultimativen Schritt vollziehen werde (in ca. 2 Wochen). Bitte...bitte...

Vielen Dank!!

Andreas

bzw. welcher der Viren könnte denn das mit dem Explorer auslösen?

@ Neudi

Dein Rechner ist total verseucht und eine Gefahr für Dich und Deine Netzumgebung. Hier ein bisschen Info zu einem der Würmer: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten. Da gibt es nur eine Lösung: formatieren - so schnell wie möglich, um den Schaden einzugrenzen. Spion liest mit .. auf Deinem Rechner.

SD

Zitat:

Daher geht man in den einschlägigen Kreisen verstärkt dazu über, dass der Angreifer die erste, leicht zu entdeckende Backdoor benutzt und eine zweite Backdoor (und unter Umständen noch weitere) auf dem System einrichtet, die er dann nach allen Regeln der Kunst versteckt. Selbst wenn der Anwender also die Infektion bemerkt und sein Removal-Tool den Wurm samt dessen Backdoor entfernt, behält der Angreifer über die zweite Hintertür dennoch die volle Kontrolle über das System.

Das solltest du noch wissen (http://www.mathematik.uni-marburg.de...c-removal.html)
Selbst nach der "Reinigungsaktion" dürfte sich dein System noch in fremder Hand befinden.

Deaktiviere die Systemwiederherstellung, boote in den abgesicherten Modus und fixe folgendes:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://out.true-counter.com/c/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://out.true-counter.com/a/?100 about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://out.true-counter.com/a/?100 about:blank (obfuscated)

F1 - win.ini: run=msinfo.exe <- dürfte mit ziemlicher Sicherheit auch Malware sein (ich weiß es aber nicht)

O1 - Hosts: 216.194.70.15 ieautosearch
O1 - Hosts: 645238813 auto.search.msn.com

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int297203.exe -auto
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Services] C:\winread.exe
O4 - HKLM\..\Run: [Microsoft Ypdate] wyamgrd.exe
O4 - HKLM\..\Run: [asdferxcv] C:\WINDOWS\System32\wjserc.exe
O4 - HKLM\..\Run: [asdfaa] C:\WINDOWS\System32\wjserb.exe
O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
O4 - HKCU\..\Run: [cpuinf32] C:\WINDOWS\System32\cpuinf32.exe <- dürfte Malware sein bin ich mir aber nicht sicher.
O4 - HKCU\..\Run: [Microsoft Ypdate] wyamgrd.exe
O4 - HKCU\..\Run: [winpack] C:\WINDOWS\System32\winpack.exe <- da bin ich auch nicht sicher

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

bei den O16 Einträgen die die du nicht kennst, aber mit Sicherheit folgende:
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} -
http://www.searchwww.com/search.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Network Logging Provider - Unknown - C:\WINDOWS\System32\drivers\svchost.exe (file missing)


Leere deinen AntiVir Quaratäne Ordner.
Lösche alle von eScan gefundenen Dateien und soweit nicht schon geschehen auch die O4 Dateien aus HjT.
Die Malware in der Systemwiederherstellung (z.B. C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP92\A0007593.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.) brauchst du nicht zu löschen, die ist nach einem Neustart wieder weg.
Lösche C:\WINDOWS\web\related.htm
Leere deine Temp Files sowie deine Tifs.

Ich übernehme keinerlei Garantie dafür, dass dann alles wieder funktioniert, oder für den Fall, dass ich was vergessen hab!!!

Außerdem betone ich nochmals, dass dein System nicht mehr vertrauenswürdig ist und sofort vom Netz getrennt und neu aufgesetzt werden sollte!!!

PS: Poste dann ein neues Logfile, scanne erneut mit eScan. Gegen noch vorhandene Spyware mit Ad-Aware und Spybot Search&Destroy scannen

Vielen Dank!