Ich habe einen Laptop bekommen wo haufenweise Mist drauf ist zum einen ein hässlicher Trojaner den ich mit meinen Kenntnissen nicht eleminieren kann .
Hoffe einer kann mir helfen.

Logfile of HijackThis v1.99.0
Scan saved at 10:42:30, on 07.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\mac.exe
C:\gam.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\STK007\STK007M.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Melanie Haschke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [USBHWINFO] C:\mac.exe
O4 - HKLM\..\Run: [USBHWDRV] C:\gam.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\icq.exe -minimize
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Sinus 154 stick.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O4 - Global Startup: STK007 PNP Monitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

hi

führe einen scan mit escan (meine beschreibung) durch
[quote]
lege diesen ordner c:\bases an
download von escan in diesen ordner
entpacke das *zip file mwav.zip hier in diesem ordner
wenn der pfad nicht genau so angegeben wird, funktioniert der scanner nicht!
mache ein update, indem du die datei kavupd.exe startest
wechsle in den abgesicherten modus von windows
öffne nun den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.exe, wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
nun öffnest du mit dem editor, die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Zitat:

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

HijackThis niemals aus einem temp. ordner (C:\-------\temp\----- ausführen, das programm so anlegen

Zitat:

C:\Programme\HijackThis\HijackThis.exe

dann klappt es auch mit dem backup

Zitat:

Platform: Windows XP XXX (WinNT X.XX.XXXX)
MSIE: Internet Explorer v6.00 XXX (X.XX.XXXX.XXXX)

windows-update durchführen, entweder direkt von hier, oder cd bestellen bei Microsoft oder einer heft-cd

Danke erstmal für deine schnelle Hilfe. Also das ist jetzt bei raus gekommen:


Fri Jan 07 12:05:15 2005 => File C:\mac.exe infected by "TrojanDropper.Win32.PurityScan.h" Virus. Action Taken: No Action Taken.


Fri Jan 07 12:05:15 2005 => File C:\gam.exe infected by "TrojanDropper.Win32.PurityScan.h" Virus. Action Taken: No Action Taken.


Fri Jan 07 12:06:28 2005 => File C:\WINDOWS\System32\dust.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.


Fri Jan 07 12:08:10 2005 => File C:\WINDOWS\System32\TFTP3092.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.


Fri Jan 07 12:08:34 2005 => File C:\DOKUME~1\MELANI~1\LOKALE~1\Temp\installer.exe infected by "not-a-virus:AdWare.PurityScan.u" Virus. Action Taken: No Action Taken.


Fri Jan 07 12:09:34 2005 => ***** Scanning complete. *****

Fri Jan 07 12:09:34 2005 => Total Files Scanned: 4340
Fri Jan 07 12:09:34 2005 => Total Virus(es) Found: 5
Fri Jan 07 12:09:34 2005 => Total Disinfected Files: 0
Fri Jan 07 12:09:34 2005 => Total Files Renamed: 0
Fri Jan 07 12:09:34 2005 => Total Deleted Files: 0
Fri Jan 07 12:09:34 2005 => Total Errors: 6
Fri Jan 07 12:09:34 2005 => Time Elapsed: 00:04:58
Fri Jan 07 12:09:34 2005 => Virus Database Date: 2005/01/07
Fri Jan 07 12:09:34 2005 => Virus Database Count: 114833

Fri Jan 07 12:09:34 2005 => Scan Completed.

Fri Jan 07 12:10:23 2005 => Virus Database Date: 2005/01/07
Fri Jan 07 12:10:23 2005 => Virus Database Count: 114833
Fri Jan 07 12:10:34 2005 => AV Library Unloaded (3)...



Noch mal 2 Fragen:

"Error" Invalid entry...... als Anzeige bei escan

und


"having size Restriction"

Was genau hat es damit aufsich!!


Danke schon mal im vorraus

@Blackhawk
den hast du dir eingefangen
http://www.sophos.de/virusinfo/analyses/w32rbotot.html
da kann ich dir nur empfehlen dein system neu aufzusetzen, da es kompromittiert ist
lese dich hier mal durch
http://www.mathematik.uni-marburg.de...ompromise.html

hier ein paar tips zum neu aufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

Zitat:

Zitat von chaosman

@Blackhawk
den hast du dir eingefangen
http://www.sophos.de/virusinfo/analyses/w32rbotot.html
da kann ich dir nur empfehlen dein system neu aufzusetzen, da es kompromittiert ist
lese dich hier mal durch
http://www.mathematik.uni-marburg.de...ompromise.html

hier ein paar tips zum neu aufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman

dem ist nichts mehr hinzuzufügen

Ja gut danke. Das mit dem neu aufsetzen habe ich mir schon fast gedacht.
Dann werde ich mal die schlechte Nachricht weiterleiten!

hi

Zitat:

Fri Jan 07 12:09:34 2005 => Total Files Scanned: 4340

da wurde nicht alles gescannt, was da noch so fleucht, brauchen wir auf grund der vorhandenen backdoor-infection, "leider" eh nicht mehr erfahren.

RICHTIG