Hallo!

Ich hab auf unserem Computer (familien-pc) einige viren und trojaner entdeckt...AVG hat manches schon wieder hinbekommen, aber was mach ich gegen die trojaner? Die meisten sind C:\WINDOWS\RESTORE\TEMP\A0000152.CPY und das geht bis 172.CPY und dann so einige andere sachen im system die ich nicht wegkriege.

Hier mein Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 13:37:27, on 20.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TEMP\ICSUPP95.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINRATCHET.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\ZUBEHöR\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGVV.EXE
C:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: SDWin32 Class - {281BCE39-1A4E-426F-AE53-6F15EE511500} - C:\WINDOWS\SYSTEM\HVSWT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: oislbz00 - {43B7EC4D-81EF-A2B8-0DD1-9A154FC9EF57} - C:\WINDOWS\SYSTEM\OISLBZ00.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [hvswtc] C:\WINDOWS\SYSTEM\hvswtc.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\SYSTEM\KDP244C.DLL"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Windows AdTools] C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE
O4 - HKCU\..\Run: [Oocr] C:\WINDOWS\Anwendungsdaten\oodo.exe
O4 - HKCU\..\Run: [Pciwjc] C:\WINDOWS\SYSTEM\akgb.exe
O4 - HKCU\..\Run: [JIT] C:\WINDOWS\SYSTEM\JIT.EXE
O4 - HKCU\..\Run: [WININET] C:\WINDOWS\SYSTEM\WININET.EXE
O4 - HKCU\..\Run: [MP4SDMOD] C:\WINDOWS\SYSTEM\MP4SDMOD.EXE
O4 - HKCU\..\Run: [CSSEQCHK] C:\WINDOWS\SYSTEM\CSSEQCHK.EXE
O4 - HKCU\..\Run: [IR50_QCX] C:\WINDOWS\SYSTEM\IR50_QCX.EXE
O4 - HKCU\..\Run: [WEBVW] C:\WINDOWS\SYSTEM\WEBVW.EXE
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\SYSTEM\KDP244C.DLL"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
         

meint ihr ich muss neu aufsetzten?

Hi,

lade Dir eScan und checke Dein System im abgesicherten Modus wie unten beschrieben.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Hey!
Danke erstmal..
also das kam raus:

Total Files Scanned: 16629
Total Virus(es) Found: 56
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 9
Total Errors: 19
Time Elapsed: 01:26:29
Virus Database Date: 2005/02/19
Virus Database Count: 115148

und hier aus mwav.log:

Code: Alles auswählenAufklappen

ATTFilter

=> *** Reg Key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{43B7EC4D-81EF-A2B8-0DD1-9A154FC9EF57} deleted because ImagePath file infected by a Virus
=> File C:\WINDOWS\SYSTEM\OISLBZ00.DLL infected by "Backdoor.Win32.Afcore.gen" Virus. Action Taken: File to be renamed on reboot.
=> File C:\WINDOWS\SYSTEM\istinstall_adlogix.exe infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\SYSTEM\mstmp.html infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: File Deleted.
=> File C:\_RESTORE\TEMP\A0000152.CPY infected by "Trojan.Win32.StartPage.sy" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000154.CPY infected by "Trojan-Downloader.Win32.PurityScan.i" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000156.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000158.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000160.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000162.CPY infected by "Trojan-Proxy.Win32.Webber.k" Virus. Action Taken: File to be deleted on reboot.
File C:\_RESTORE\TEMP\A0000164.CPY infected by "Trojan-Proxy.Win32.Webber.k" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000166.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000168.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000170.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot. 
=> File C:\_RESTORE\TEMP\A0000172.CPY infected by "Trojan-Downloader.Win32.Mediket.g" Virus. Action Taken: File to be deleted on reboot.
=> File C:\WINDOWS\SYSTEM32\nxscript.exe infected by "Trojan-Clicker.Win32.VB.dn" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\SYSTEM32\winaspi32.exe infected by "Trojan.Win32.VB.qv" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\perfectnavUninstall.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\ts_8_new.exe infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\tsinstall_4_0_3_7.exe infected by "Trojan-Downloader.Win32.TSUpdate.i" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\GLF12B2GLF12B2.EXE infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-7f7ca196.zip infected by "Trojan-Downloader.Java.OpenStream.t" Virus. Action Taken: File Deleted.
=> Scanning Folder: C:\Programme\Sophos SWEEP\Infected\*.*
         

Ich hoff das ist ok so..

Du solltest Dein system neu aufsetzen
Grund:

Zitat:

"Backdoor.Win32.Afcore.gen"

die anderen hätte gereicht von Hand zu löschen, aber ein Backdoor verändert Systemdateien, Spioniert Daten aus gibt sie an dritte weiter, sendet Codes. Um wirklich wieder ein vertraueswürdiges system zu haben bleibt Dir nur Format C
Ändere danach auch alle Deine Passwörter.
Lese auch mal über Kompromittierung
Die Hife von Cidre für's Neuaufsetzen
solltest Du umsetzen.