Hallo zusammen,
ich habe einen neuen PC und habe xp prof mit sp1 draufgemacht, danach gleich den antivir, neuste exe, inklusive gleich das update, danach windows updates.
Es hat nichts geholfen, ich habe laut e scan 11 vieren,troyaner und son mist drauf, darunter auch iexwe.exe und msnac.32.exe sowie ein trojanerdonloadder.BAT.Ftp.ai, mpsys.exe, mnm.exe und son scheiß.
Es dürfte klar sein, dass ein neu aufsetzen des betriebssystems irgendwo keinen sinn macht, da ich ja nicht mehr kann, wie ich gemacht habe, somit würde das selbe ja wieder passieren.
ich bin wütend und langsam müde, denn ich arbeite seit 4 Tagen daran, diesen rechner ans laufen zu bekommen. Das kann es doch wirklich nicht sein.
Ich hab vorher mal den Norton Antivirus drauf gehabt, mit FIrewall und allem schnick schnack, aber auch der hat mir nicht geholfen, im gegenteil er hat mich in falsche sicherheit gewogen.
Gibt es eine soforthilfe, ausser die manuelle löschung? escan kaufen würde ich ja noch machen, doch das dauert ja auch wieder tage, bis ich dann den code habe und das progi nutzen kann. Da ich aber meinen Lebensunterhalt mit dieser Kiste verdiene, wäre ich dankbar, so schnell wie möglich eine helfende Antwort zu bekommen. Im anschluss an diesen Beitrag werde ich die find datei von e scan hier hereinkopieren, vielleicht kann mir hier ja jemand helfen, bin jedoch relativ pc plond und kann kein englisch, also bitte verständliche worte benutzen.

PS: die Rechtschreibfehler könnt ihr behalten, das ist die folge von Webdesign..

Hallo,

bestell Dir bei Microsoft eine CD mit SP 2 (Lieferzeit max. eine Woche).
Halte Dich hier an das "12-Punkte-Programm" zur Absicherung Deines Systems.

dartus

so, hier Logfile 1 im Abgesicherten Modus von E Scan:
Object"Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object
"cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Entry "HKCR\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}" refers to invalid object

"C:\Programme\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll". Action Taken: No Action Taken.

Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object
"BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}" refers to invalid object

"C:\Programme\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A1B09066-C95C-4EF6-8DFD-3DD0AFE610B6}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\aol\SCREEN~1\YGPSCR~1.DLL". Action Taken: No Action Taken.

Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F83865C0-92C3-11d3-B41E-0010DC973BDB}" refers to invalid object "CamExL20.ax". Action Taken: No Action Taken.

Entry "HKCR\CLSID\{F83865C2-92C3-11d3-B41E-0010DC973BDB}" refers to invalid object "CamExL20.ax". Action Taken: No Action Taken.

Entry "HKCR\CLSID\{F83865C3-92C3-11d3-B41E-0010DC973BDB}" refers to invalid object "CamExL20.ax". Action Taken: No Action Taken.
Entry

"HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
File
C:\WINDOWS\mnm.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
File v

C:\WINDOWS\System32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File v

C:\WINDOWS\System32\IEXwe.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
File v
C:\WINDOWS\System32\mpsys.exe infected by "Trojan-Dropper.Win32.Juntador.e" Virus! Action Taken: No Action Taken.
File v
C:\WINDOWS\System32\msnac32.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
File v
C:\WINDOWS\System32\o infected by "Trojan-Downloader.BAT.Ftp.ai" Virus! Action Taken: No Action Taken.
File v
C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File v
C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File v
C:\WINDOWS\mnm.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
File
C:\WINDOWS\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File v
C:\WINDOWS\system32\IEXwe.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
File v
C:\WINDOWS\system32\mpsys.exe infected by "Trojan-Dropper.Win32.Juntador.e" Virus! Action Taken: No Action Taken.
File v
C:\WINDOWS\system32\msnac32.exe infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
File v
C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.ai" Virus! Action Taken: No Action Taken.
v

Noch mal ich.. gg, Logfile Nr, 2
Diese Spyware und die Schlüssel sind für mich böhmische Dörfer, ich hoffe, man kann mir dazu was sagen, wie es nun auf meinem PC aussieht

File C:\PROGRA~2\MEDIAA~1\MEDIAA~1.EXE tagged as "not-a-virus:AdWare.WinAD.an". Action Taken: No Action Taken.
File C:\PROGRA~2\MEDIAA~1\MEDIAA~1.EXE tagged as "not-a-virus:AdWare.WinAD.an". Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "WindUpdate Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}" refers to invalid object "C:\Programme\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DED49D5-A8B7-4d5d-97A1-12B0C195874D}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}" refers to invalid object "C:\Programme\Viewpoint\Viewpoint Experience Technology\AxMetaStream.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{80DD2229-B8E4-4C77-B72F-F22972D723EA}" refers to invalid object "C:\WINDOWS\DOWNLO~1\BITDEF~1.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{A1B09066-C95C-4EF6-8DFD-3DD0AFE610B6}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\aol\SCREEN~1\YGPSCR~1.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{C6666B26-92FC-4164-BADD-8829E7AA7EC7}" refers to invalid object "C:\WINDOWS\DOWNLO~1\BITDEF~1.OCX". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F83865C0-92C3-11d3-B41E-0010DC973BDB}" refers to invalid object "CamExL20.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F83865C2-92C3-11d3-B41E-0010DC973BDB}" refers to invalid object "CamExL20.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F83865C3-92C3-11d3-B41E-0010DC973BDB}" refers to invalid object "CamExL20.ax". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{FD0A5AF3-B41D-11d2-9C95-00C04F7971E0}" refers to invalid object "BdaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
File C:\WINDOWS\System32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

@TinaM
Teil 2 ist schon überflüssig , denn im Teil 1 taucht Worm.Rbot mindestens 2 mal auf. Bitte PC nach Anleitung (Link in meiner Signatur) neu aufsetzen, 12 Punkte beachten.

den 2. log hab ich nach der beseitigung manuell aller im log stehenden dateien gemacht, in der hoffnung, dass ich sie alle erwischt habe.. daher auch meine frage nach dieser spyware/adware und den schlüsseln.

Neu aufsetzen ist nach den stunden arbeit für mich die allerletzte möglichkeit. Ich hatte auf dem vorherigen Rechner auch son mist drauf, und hab ihn sauber bekommen, ist zwar schon ein jahr her, aber seit dem lief er stabil. Es muss doch was geben, dass man das in den griff bekommt..
gut, damals eliminierte der e scan noch als freeware.. leider tut er das ja heute nicht mehr..


Aber erst mal danke für die bisherige hilfe, soweit war ich jedoch schon ohne meinen Beitrag hier, das wird ja im Grunde immer gesagt, neu aufsetzen.

@TinaM

Zitat:

Neu aufsetzen ist nach den stunden arbeit für mich die allerletzte möglichkeit.

Bei einem Backdoor ist es leider die einzige und, wenn du möchtest - allerletzte Möglichkeit.

Zitat:

Zitat von TinaM

[...] das wird ja im Grunde immer gesagt, neu aufsetzen.

...und das aus gutem Grund.
-> C:\WINDOWS\System32\IEXwe.exe infected by "Backdoor.Win32.Rbot.gen

Zitat:

Backdoor.Rbot is a family of Trojan programs for Windows, which offer the user remote access to victim machines. The Trojans are controlled via IRC, and have the following functions:

* monitor networks for interesting data packets (i.e. those containing passwords to FTP servers, and e-payment systems such as PayPal etc.)
* scan networks for machines which have unpatched common vulnerabilties (RPC DCOM, UPnP, WebDAV and others); for machines infected by Trojan programs (Backdoor.Optix, Backdoor.NetDevil, Backdoor.SubSeven and others) and by the Trojan components of worms (I-Worm.Mydoom, I-Worm.Bagle); for machines with weak system passwords
* conduct DoS attacks
* launch SOCKS and HTTP servers on infected machines
* send the user of the program detailed information about the victim machine, including passwords to a range of computer games

Quelle: http://www.viruslist.com/en/viruses/...?virusid=56713

Zitat:

Rbot's main function is to act as an IRC controlled backdoor. It attempts to connect to a predefined IRC server and join a specific channel so that the victim's computer can be controlled. The IRC server, port number, channel and password differ with each variant.

Rbot also listens on TCP port 113 to provide ident services, which are required by some IRC servers.

Once the victim's computer is under control, the overseer is able to instruct Win32.Rbot to attempt to perform malicious operations such as spreading via administrative shares with weak passwords or the DCOM RPC exploit. The backdoor can also be instructed to:

* download and execute files from the Internet
* retrieve system information such as Operating System details
* retrieve CD keys for certain computer games, if present
* start a SOCKS proxy
* perform denial of service (DoS) attacks
* start several other servers: rlogin, http, tftp. The ports used for these are configurable.
* log keystrokes
* capture video from a webcam, if present
* send e-mail

Quelle: http://www3.ca.com/securityadvisor/v....aspx?id=39437

Wofür braucht man sowas?
http://cert.uni-stuttgart.de/doc/netsec/bots.php
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689


Was rät Microsoft? -> http://faq.underflow.de/#SECTION000120000000000000000

Was sagt der CCC? http://www.trojaner-board.de/showpos...33&postcount=3

hallo, na vielen dank auch,
dann hab ich wohl wirklich keine andere chance, mal eine frage, wer hat erfahrung mit dem Betriebssystem von Zeta?

Gruß Tina