Kaum noch Hoffnung...

mastermind · 11.01.2005, 21:32

Guten Abend,

suche verzweifelt Hilfe. Gestern morgen hat mich Norman mit 10 Trojaner-Warnungen überrascht. Eine davon war nicht entfernbar. Ich habe daraufhin eine kompletten Scan der Festplatten vorgenommen, Ergebnis 2000 weitere Trojaner in windows/system32 und systemvolumen information. Alle vom Typ w32/krepper.AE. Wiederum waren ein kleiner Teil der Datein nicht entfernbar.
Daraufhin habe ich mir auf trojaner-info die programme spybot, ad-aware, spysubstract und cwshredder runtergeladen und wie beschrieben im abgesicherten modus, mit ausgeschalteter windows wiederherstellung durchlaufen lassen. Das Ergebnis war ernüchternd. 60000 Trojaner bei ad-aware, die aber nicht mehr bewältigt wurden. Die anderen haben verschiedenes gefunden, auch norman hat nochmals einige tausend vernichtet aber letztendlich gingen sie nicht alle weg.
Heute habe ich dann die härtere Variante versucht, mir hijack this gedownloadet, einen log-bericht erstellt und anhand der tools (und meinem bescheidenen wissen) die sachen entfernt, die da nicht hingehörten - wieder ohne Erfolg, sie kommen einfach wieder. Ich häng den aktuellen trotzdem mal hier ran:

Logfile of HijackThis v1.99.0
Scan saved at 21:17:29, on 11.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
D:\programme\adobe\acrobat 5.0\Distillr\AcroTray.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
D:\Programme\Apple Computer\DVD@ccess\DVDAccess.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Programme\Freecom Personal Media Suite\FCPMS.exe
D:\programme\StarOffice7\program\soffice.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Hoelzle\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8C6S4~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programme\ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - Startup: Freecom Personal Media Suite.lnk = C:\Programme\Freecom Personal Media Suite\FCPMS.exe
O4 - Startup: StarOffice 7.lnk = D:\programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\programme\adobe\acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DVD@ccess.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30BEB26C-0593-49D9-A94D-E5F5FE51C55B}: NameServer = 217.237.151.97 217.237.150.33
O20 - AppInit_DLLs: 9497cod8uyxk5jk.dll.dll.dll
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Kann mir anhand dessen jemand noch einen Typ geben? Gibts irgendwie noch ne Möglichkeit? Ich kenne mich leider nicht besonders gut aus, welche Zeilen gehören denn definitiv weg?
Falls es keine andere Lösung gibt würde ich den rechner auch platt machen. Wie stelle ich das am nachhaltigsten an? - ich möchte sicher gehen! Eine Sytemwiederherstellung hatte ich heute nacht schon einmal laufen lassen, die wurde aber nicht korrekt durchgeführt,deshalb abgebrochen (?)...

Gruß und Dank
"mastermind"

Cidre · 11.01.2005, 22:01

Hallo,

bei diesen undefinierbaren Zustand deines Systems kann man eigentlich nur diese Empfehlung abgeben -> Neuaufsetzen deines System, siehe Signatur.

mastermind · 11.01.2005, 23:10

Danke für die Bestätigung und die links.
Tja, da muß ich wohl jetzt durch...

Gute Nacht, miteinander!

11.01.2005, 22:01	#2
Cidre Administrator, a.D.	Kaum noch Hoffnung... Hallo, bei diesen undefinierbaren Zustand deines Systems kann man eigentlich nur diese Empfehlung abgeben -> Neuaufsetzen deines System, siehe Signatur. __________________ __________________

Kaum noch Hoffnung...

Log-Analyse und Auswertung: Kaum noch Hoffnung...