Hallo
Habe mir vor ein paar Tagen einen Download.Trojaner und einen W32/Rbot Wurm eingefangen.
Habe diesen durch Kaspersky weg bekommen obwohl mache meinten ich solle meine ganzes System neu draud machen.
Möchte nun wissen ob mein System sauber ist.
Kann mir jemand meiterhelfen?

Logfile of HijackThis v1.99.0
Scan saved at 08:36:27, on 31.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\System32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\System32\CTHELPER.EXE
I:\WINDOWS\System32\ctfmon.exe
I:\WINDOWS\System32\CTsvcCDA.exe
I:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\MsPMSPSv.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlid...date?clid=1031

O2 - BHO: (no name) - {00000015-A527-34E7-25C2-03A4E313B2E9} - (no file)
O2 - BHO: (no name) - {262277EC-5BB5-4849-8BF2-1824330C9CAC} - (no file)
O2 - BHO: (no name) - {60261C06-81B0-4DE0-9313-E5BA203A64E9} - (no file)
O2 - BHO: (no name) - {6375B3AD-4440-4C1F-95E5-A24198ED671C} - (no file)
O2 - BHO: (no name) - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] I:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\ctfmon.exe

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093170521406
O17 - HKLM\System\CCS\Services\Tcpip\..\{1007FFD5-1952-4105-9E5D-39318BAA9953}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDBF9DE3-7CC3-4A42-BDFD-ABA4909ACE60}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1007FFD5-1952-4105-9E5D-39318BAA9953}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1007FFD5-1952-4105-9E5D-39318BAA9953}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - I:\WINDOWS\system32\ati2sgag.exe








Haben das ganze Norton Zeug vor ein paar Tagen runter gemacht.
Habe auch alles auf der Platte manuell gelöscht,
was bei der Deinstallation nicht gelöscht wurde.
Bekomme nun halt diese Einträge nicht mehr weg.
Kann mir hier noch jemand weiterhelfen?

-abgesicherten Modus
-ohne Systemwiederherstellung
-als Admin mit HijackThis nicht weg!

Norton:
O4 - HKLM\..\Run: [ccApp] "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QD FastAndSafe] E:\NORTON~2\NORTON~2\QDCSFS.exe /startup /scheduler
O4 - HKLM\..\Run: [Advanced Tools Check] E:\NORTON~1\AdvTools\ADVCHK.EXE

andere Sachen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
O4 - HKLM\..\Run: [zBrowser Launcher] e:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [F-StopW] e:\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [THGuard] "E:\TrojanHunter 4.1\THGuard.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] I:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Norton SystemWorks 03 Pro\Norton Ghost\GhostStartTrayApp.exe

"Manche" hatten Recht, mach dein System neu nach dieser Anleitung und spare dir dann die Installation von Norton gleich von Anfang an:

http://www.trojaner-info.de/report_i...nleitung.shtml

Du hast noch kein einziges Update für windows installiert, das ist an sich schon gefährlich genug. Arbeite auch sehr genau die weiterführenden Links durch.

Hallo Danke erstmal für deine Antwort.
Diese Trojaner und Backdoorwürmer waren nicht in Bedrieb.
Habe diese auch nur ca. 2 oder 3 Tage drauf gehabt.
Gibt es keine andere Möglichkeit mein System ohne Neuaufsetzen zu fixen?
Wegen der Updates habe alle installiert die unter Microsoft Update laufen, das einzige Update was nicht läuft ist das SP1 ca. 6MB groß.

@Marksen
es gibt genügend PC heftchen die SP2 auf CD mitlieferen
setze neu auf, geht schneller und du hast ein wirklich sauberes system
hier eine hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2

chaosman