Seid gegrüßt!

Bin durch die Onlinesuche von web.de auf dieses Forum gestoßen und bin echt begeistert davon! Leider hat sich auch auf meinem Rechner o.g. Trojaner eingenistet! Ich habe mir die Antworten zu diesem Thema hier schon durchgelesen, aber nicht allzu viel davon verstanden. Vor allen Dingen was die Auswertung der Hijacklist angeht. Vielleicht findet sich ja jemand, der mir das verständlich erklären kann. Bin zwar kein Neuling auf dem PC-Gebiet, aber BIOS u.ä. sind für mich böhmische Dörfer!
Poste hier mal meine Hijacklist:

Logfile of HijackThis v1.99.0
Scan saved at 14:59:01, on 07.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Programme\VERITAS Software\Update Manager\sgtray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\Media.HPPAV\187.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Media.HPPAV\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de7.hpwis.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\Media.HPPAV\187.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www6.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9168EBD4-D87B-4542-89D9-B7CD9E87160D}: NameServer = 195.71.231.179 193.189.244.205
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Event - Unknown - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

Wäre nett, wenn mir einer sagen könnte, WAS ich WIE löschen muß, damit ich diesen sturen Gaul von meinem PC kriege.
Habe übrigens Windows XP als Betriebssystem.

Danke und Gruß
Marco

@Opelfan

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Ungepatchtes Win und als Folge:

Zitat:

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe

AGOBOT drauf. Neu aufsetzen nach Anleitung: http://www.trojaner-board.com/showthread.php?t=12154

Hallo!

Nachdem ich heute nun endlich mein System neu aufgesetzt habe, kopiere ich den neuen Hijack Log nochmal hier rein, damit ihr mir sagen könnt, ob jetzt alles
an Trojanern und Würmern vernichtet wurde.
Also let´s go...

Logfile of HijackThis v1.99.0
Scan saved at 19:47:07, on 12.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\snapple.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\System32\soundmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
F2 - REG:system.ini: Shell=Explorer.exe soundmon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [snapple] snapple.exe
O4 - HKLM\..\RunServices: [snapple] snapple.exe
O4 - HKLM\..\RunOnce: [snapple] snapple.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [snapple] snapple.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{61E41E17-333C-4780-AE8C-D2D23991AA3C}: NameServer = 195.71.231.179 193.189.244.205
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Danke & Gruß
Marco

Sauber ist das Log in keinem Fall!
Überprüfe mal online bei http://virusscan.jotti.dhs.org
C:\WINDOWS\System32\snapple.exe
C:\WINDOWS\System32\soundmon.exe
und poste das Ergebnis.
Die Prozesse vorher beenden.

Hi!

Hat zwar etwas länger mit der Auswertung gedauert, aber nun habe ich sie vorliegen. Es sieht nicht so gut aus, befürchte ich. Also, die erstgenannte
[QUOTE]
C:\WINDOWS\System32\snapple.exe beinhaltet den "Backdoor.Win32.PdPinch.gen" und die andere C:\WINDOWS\System32\soundmon.exe[/QOUTE]
ist mit dem "Backdoor.Win32.Rbot.gen" infiziert!!!
Wie kriege ich die beiden Dateien jetzt von meinem PC, ohne nochmal alles neu aufspielen zu müssen?

Besten Dank
Marco

Hallo!

Kann mir denn keiner von Euch helfen, wie ich die besagten Dateien entfernen kann?

Gruß Marco

@Opelfan

Zitat:

Kann mir denn keiner von Euch helfen, wie ich die besagten Dateien entfernen kann?

1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernünftig absichern:Info
4.Alle Passwörter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...
Wenn du einen von diesen Punkten auslässt oder nicht genau folgst, was schon geschah (kein SP2 wurde aufegspielt), bist du für ewiges Neuaufsetzen verbannt.