Hi,
AntiVir findet bei mir folgende Programme:
PMS/FURootkit
TR/Dldr.lsTBar.A
TR/Dldr.Apropo.G
und kann sie angeblich auch löschen. Leider scheint das aber nix zu bringen, denn nach einem Neustart hab ich wieder automatisch zig IE-Fenster mit Werbung offen und der Task-Manager lässt sich nicht starten usw...

Habe auch schon das System mehrach neu aufgesetzt (Habe mit der WinXP CD gebootet und dann bei der Installation die Systemplatte formatiert). Allerdings habe ich die Programme auch jetzt noch drauf. Habe ich was falsch gemacht beim Neuaufsetzen? Oder wie bekomme ich sie sonst weg? Daran, dass die Trojaner auf den anderen Platten waren glaube ich nicht, denn kein Antiviren Programm hat auf diesen etwas gefunden.

Ich könnte mir übrigens gut vorstellen, dass sich noch andere Programm auf dem PC befinden. Denn vor dem Neuaufsetzen hat AntiVir noch andere Würmer/Trojaner gefunden.

Danke schonmal für eure Hilfe!

Jetzt hab ich alle Platten formatiert und Windows mal wieder neu drauf gemacht. Habe sofort AntiVir installiert und nun findet er die Würmer Rbot.1157... und Agobot.69...

Hallo,

es gibt drei Möglichkeiten für die erneute Reinfizierung:

1. Du hast dein System nicht neu aufgesetzt, sondern nur 'drübergebügelt'.
2. Du integrierst dir nach dem Neuaufsetzen die Malware wieder ins saubere System, sprich deine möglichen Backups sind durchseucht.
3. Dein System wurde nicht dementsprechend vor der ersten Online-Sitzung abgesichert.

Letzteres erscheint mir am wahrscheinlichsten. Setze nochmals unter Verwendung der 'Neuaufsetzen Anleitung' in meiner Signatur dein System auf und dann funktioniert's auch.

Danke für die Antwort!

1. ich hab die platte bei der windows installation formatieren lassen (falsch? gibts andere wege die platte zu formatieren? dateisystem ist ntfs)
2. kanns nicht sein weil hab ich noch gar nicht wieder draufgemacht
3. halte ich auch für unwahrscheinlich, da die dinger auch schon aktiv sind bevor ich auch nur eine internetseite geöffnet habe.

Zitat:

Zitat von murx

1. ich hab die platte bei der windows installation formatieren lassen (falsch? gibts andere wege die platte zu formatieren? dateisystem ist ntfs)

Ist ok.

Zitat:

2. kanns nicht sein weil hab ich noch gar nicht wieder draufgemacht

OK.

Zitat:

3. halte ich auch für unwahrscheinlich, da die dinger auch schon aktiv sind bevor ich auch nur eine internetseite geöffnet habe.

Die bloße Verbindung zum Internet reicht.
-> hxxp://sicher-ins-netz.info/wuermer/nw-wuermer.html

servus!
bei mir hat antivir auch einige trojaner gefunden obwohl ich das system neu aufgesetzt habe.
vielleicht kann mal jemand über meine .log gucken!?

Logfile of HijackThis v1.98.2
Scan saved at 12:40:31, on 21.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\UPDATE\antivir_workstation_win_de_h.exe
C:\DOKUME~1\Uli.MOE\LOKALE~1\Temp\WZSE1.TMP\disk_1\setup.exe
C:\DOKUME~1\ULI.MOE\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\Programme\AVPersonal\AVWIN.EXE
E:\Programme\ICQLite\ICQLite.exe
E:\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://login.europe.yahoo.com/config/mail?.intl=de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "E:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118665816895
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E3214EC-E373-4CED-BC75-5556030D5A81}: NameServer = 195.247.247.195 62.27.27.62
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

danke!!

@mooshandl!

Lese Dich hier mal durch --> http://www.trojaner-board.de/showthr...783#post149783

Hallo mooshandl,

zusätzlich zu The Saints Kritik wäre es wünschenswert, dass du alle aktiven Links "entschärfst" (http-> h**p).
Verwende in deinem neuen Thread bitte die aktuelle Version von HijackThis und halte dich an diese Anleitung

Ich hatte das Prob mit dem W32/Sillydownloader.F

--> EDITIERT!

--- Editiert ---

Der Link zeigt auchmal andere Vorgehensweise wenn auch ... , muß ich zugeben, etwas sehr umständlich!

Ich hab mein Posting editiert, weil ich mich verlesen hatte...

Ebenda