AntiVir fand bei Scan 2 Viren. Danach habe ich Hijack gestartet (Log unten) und escan (nicht im abgesicherten Modus, spielt das eine Rolle?). Ich habe mal wieder keine Ahnung wie vorgehen. Das letzte Mal hatte ich im September so eine Geschichte und bekam auf dieser Site tolle Hilfe, leider hab ich viel wieder vergessen, wie ich vorgehen muss und was der Reihe nach zu tun ist. Für jegliche Hilfe bin ich Euch dankbar, nicht vergessen: bin nicht sehr bewandert mit Spezialbegriffen, also bin ich froh für eine Idiotensichere Anleitung Schritt für Schritt.
Thx!!!!

Hijack Log
Logfile of HijackThis v1.99.1
Scan saved at 12:52:15, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.sunrise.ch/de/hom/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://internet.sunrise.ch/de/hom/default.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://internet.sunrise.ch/de/hom/default.asp
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


eScan: Auswertung ist extrem lange, weiss nicht welcher Teil nötig ist oder überhaupt.

Meldung von AntiVir:

18.02.2005,12:39:15 [INIT] Der AVGuard Service wird gestarted.
18.02.2005,12:39:16 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
18.02.2005,12:39:19 [INFO] Start Filter Device.
18.02.2005,12:39:19 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.11 VDF Version: 6.29.0.109
18.02.2005,12:39:19 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
18.02.2005,12:39:22 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
18.02.2005,12:39:22 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaac3a2.
18.02.2005,14:34:17 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.GJ!
C:\WINDOWS\SYSTEM32\TFTP1036
18.02.2005,14:34:30 [WARNUNG] Enthält Signatur des Wurmes Worm/PeyBot.A!
C:\WINDOWS\SYSTEM32\TFTP1092
18.02.2005,14:34:32 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.GJ!
C:\WINDOWS\SYSTEM32\TFTP3876

Hi,

scanne Dein System nochmal mit escan aber im abgesicherten Modus siehe Beschreibung unten.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Ok hier das gewünschte (hoffe habe alles richtig gemacht):

Sun Feb 20 04:19:05 2005 => Total Files Scanned: 83635
Sun Feb 20 04:19:05 2005 => Total Virus(es) Found: 6
Sun Feb 20 04:19:05 2005 => Total Disinfected Files: 0
Sun Feb 20 04:19:05 2005 => Total Files Renamed: 0
Sun Feb 20 04:19:05 2005 => Total Deleted Files: 0
Sun Feb 20 04:19:05 2005 => Total Errors: 1
Sun Feb 20 04:19:05 2005 => Time Elapsed: 00:58:10
Sun Feb 20 04:19:05 2005 => Virus Database Date: 2005/02/20
Sun Feb 20 04:19:05 2005 => Virus Database Count: 118897

Sun Feb 20 03:23:49 2005 => File C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.

Sun Feb 20 03:24:08 2005 => File C:\WINDOWS\System32\TFTP1092 infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.

Sun Feb 20 03:42:29 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
(====> ?? Pfad ohne Virus?
)

Sun Feb 20 04:17:58 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus. Action Taken: No Action Taken.

Sun Feb 20 04:18:32 2005 => File C:\WINDOWS\system32\TFTP1092 infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.

Hallo @marion.ch,

Zitat:

Enthält Signatur des Wurmes Worm/RBot.GJ!

Siehe http://www.sophos.com/virusinfo/analyses/w32rbotvo.html

Zitat:

# Allows others to access the computer
# Deletes files off the computer
# Steals information
# Uses its own emailing engine
# Downloads code from the internet

Zitat:

Backdoor.Win32.PoeBot.b

Siehe http://www.sophos.com/virusinfo/anal...32poebotf.html

Zitat:

# Allows others to access the computer
# Steals information
# Reduces system security
# Records keystrokes
# Installs itself in the Registry
# Exploits system or software vulnerabilities

Daraus resultiert leider zur deiner eigenen Sicherheit ein Neuaufsetzen deines Systems, siehe dazu den Link in meiner Signatur.

Zitat:

Wenn auf einem System eine Malware, wie z.B. ein Backdoor Trojaner oder ein Wurm mit Backdoor Funktionalität installiert und diese auch aktiv wurde, dann spricht man von einer Kompromittierung (Bloßstellung) des Systems. Dies hat zur Folge, dass alle Dateien (insbesondere AV Anwendungen) manipuliert werden können und somit die sensiblen Daten des Benutzers bzw. Systems als bekannt anzusehen sind.
Das System als solches ist folglich nicht mehr vertrauenswürdig, da die Möglichkeit des Fernzugriffs durch Dritte besteht.

Danke Cidre für die Turbo-Antwort! FREUDE HERRSCHT! Das sind ja wirklich "tolle" Neuigkeiten. !!!
Im Moment bin ich gerade etwas überfordert . Ich habe das löschen und Neuaufsetzen noch nie gemacht. Möchte es aber unbedingt selbst machen und es so lernen.
Gibt es irgendwo eine Anleitung wie ich alles richtig lösche und wie ich dann vorgehen muss?
Vielen Dank für die Hilfe!
Gruss. marion

Ja, wenn du z.B. den Link in meiner Signatur anklickst, dann findest du dort eine Anleitung.

Gibt es irgendeine Möglichkeit herauszufinden ob das Zeug aktiv wurde oder nicht? Wenn es nicht aktiv wurde, ist dann das Neuaufsetzen nötig?

Ist irgendwie ersichtlich auf welchem Weg die "Infektion" stattfand und wann?

Vielen Dank für die Hilfe.
Gruss marion

Zitat:

Zitat von marion.ch

Gibt es irgendeine Möglichkeit herauszufinden ob das Zeug aktiv wurde oder nicht? Wenn es nicht aktiv wurde, ist dann das Neuaufsetzen nötig?

Da der Wurm in System32 gefunden wurde, war er aktiv.

Zitat:

Zitat von marion.ch

Ist irgendwie ersichtlich auf welchem Weg die "Infektion" stattfand und wann?

Über das Netzwerk, aufgrund fehlender Sicherheitsupdates. Das ganze passiert heutzutage bei Online-Zugang innerhalb von zehn Sekunden.

Du solltest mit dem Rechner jedenfalls nicht mehr ins Netz, bevor er nicht neu aufgesetzt wurde.

Gruß
Yopie

Sowas habe ich schon befürchtet. Danke für Deine Antwort. Staune immer wieder wie schnell ich hier Hilfe erhalte. Wahnsinn.
Danke.
Gruss Marion