Hi !

Zwecks meiner Arbeit habe ich hier einen Rechner, der von oben bis unten verseucht ist und wieder hergerichtet werden will. Wäre dies mein eigener würde einfach die Festplatte eine Frischzellenkur erhalten und das Problem hätte sich erledigt, doch gibt es hier ein paar Querelen bezüglich der Datensicherung. So sollte zuerst versucht werden, den Rechner von den Schädlingen zu befreien.

Bisher habe ich folgende entdecken können:

TR/Dldr.IstBar.GO
TR/Dldr.IstBar.go
TR/Dldr.IstBar.15872.1
TR/Dldr.Istbar.er2
TR/Dldr.Small.VV
TR/Dldr.Dyfuca.DB
TR/Dldr.Dyfuca.BH.1
TR/Dldr.Dyfuca.ds
TR/Dldr.Agent.GD.1
TR/Dldr.Agent.IG.3
Worm/VB.CT
DR/180Solutions
TR/Dldr.TW.DLL
Worm/RBot.xxxxxx (mehrere Ausführungen)
popuppers advertisment window3


Als Betriebssystem fungiert Wndows XP Pro SP1 mit installierten Updates.
Spybot, Antivir und AdAware haben nur zu bisher mäßigem Erfolg geführt.

Anbei die HijackThis-Log:

Ich hoffe, ihr könnt mir in dieser Sache helfen.
Gruß,
Beat

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 15:27:10, on 05.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\System32\winmedplay.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\winagent.exe
C:\Program Files\Media Pass\MediaPass.exe
C:\WINDOWS\System32\win32ttb.exe
C:\Program Files\Media Pass\MediaPassK.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Elektro Hammacher\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteicu32.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\winagent.exe /i
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPass.exe
O4 - HKLM\..\Run: [MS Unix Binary] win32ttb.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [runs] run.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109859780062
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

@Glockenbeat
du hast u.a diesen im system
http://www.sophos.com/virusinfo/anal...ojbdooreq.html
deswegen kann ich dir nur raten dein systemneuaufzusetzen(formatC)

hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry

chaosman