Hab den oben genannten Trojaner auf meinem Rechner und bekomme ihn nicht weg. Er hat sich in 4 verschiedene dateien direkt im C: laufwerk fest gesetzt... Sind in den Dateien see_this!!.scr, funny_pic.scr, my_photo2005.scr und in hellmsn.exe.... können auch mehr sein aber mehr hab ich nicht gefunden... bitte helft mir.... habs schon mit norton antivirus und antivir versucht.. bringt nichts...

Danke im Vorraus

Hoodlum

Überprüfe die Dateien mal bei http://virusscan.jotti.org/de und poste das Ergebnis zusammen mit einem HijackThis-Logfile.
Beachte die rot markierten Hinweise!

Datei: funny_pic.scr
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
FSG

AntiVir
Worm/Mytob.DV gefunden
ArcaVir
Worm.Mytob.Dr gefunden
Avast
Keine Viren gefunden
AVG Antivirus
I-Worm/Mytob.ED gefunden
BitDefender
Win32.Worm.Mytob.X gefunden
ClamAV
Worm.Mytob.H-3 gefunden
Dr.Web
Win32.HLLM.MyDoom.29 gefunden
F-Prot Antivirus
W32/Mytob.gen - Packed gefunden
Fortinet
W32/MyTob.BZ-mm gefunden
Kaspersky Anti-Virus
Net-Worm.Win32.Mytob.x gefunden
NOD32
Win32/Mytob.BG gefunden
Norman Virus Control
W32/Mytob.EQ gefunden
UNA
Worm.Win32.Mytob gefunden
VBA32
Net-Worm.Win32.Mytob.x gefunden


Datei: hellmsn.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
FSG

AntiVir
Worm/Mytob.F.1 gefunden
ArcaVir
Worm.Mytob.F gefunden
Avast
Win32:Mytob-FSG gefunden
AVG Antivirus
I-Worm/Mytob.E gefunden
BitDefender
Backdoor.Faribot.A gefunden
ClamAV
Worm.Mytob.H-3 gefunden
Dr.Web
Win32.HLLW.Bropia gefunden
F-Prot Antivirus
W32/Mytob.X gefunden
Fortinet
W32/Mytob.L-mm gefunden
Kaspersky Anti-Virus
Net-Worm.Win32.Mytob.f gefunden
NOD32
Win32/Mytob.I gefunden
Norman Virus Control
W32/Mytob gefunden
UNA
I-Worm.Mydoom.as gefunden
VBA32
Worm.Mytob.h gefunden



Logfile of HijackThis v1.99.1
Scan saved at 20:03:59, on 08.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\devldr32.exe
D:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\taskgmr.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\hellmsn.exe
C:\WINDOWS\explorer.exe
D:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PC-M\LOKALE~1\Temp\Rar$EX01.516\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: CSBrBho Class - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\PROGRA~1\Comet\Install\Temp\brbho.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PNtask Services] C:\WINDOWS\System32\pntask.exe
O4 - HKLM\..\Run: [System Update] winsct32.exe
O4 - HKLM\..\Run: [MMtask Service] mmtask.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGRUN] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [WINTASK] taskgmr.exe
O4 - HKLM\..\Run: [TvTwHAvF] C:\WINDOWS\kfimo.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [WINTASK] taskgmr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsMGM] C:\WINDOWS\winmgm32.exe
O4 - HKCU\..\Run: [System Update] winsct32.exe
O4 - HKCU\..\Run: [Yahoo! Pager] d:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\system32\sm.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Eyeball Chat] "D:\Programme\Eyeball\Eyeball Chat\EyeballChat.exe" -min
O4 - HKCU\..\Run: [WINTASK] taskgmr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...0006_adult.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-...3.cab?fgiocv=1
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab31267.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt03.com/dialer/internazionale_ver11.CAB
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O18 - Filter: text/html - {221D730B-B08F-4292-B0F5-6A199353192E} - C:\Dokumente und Einstellungen\PC-M\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

Du hast leider mehrere Würmer mit Backdoor-Funktionalität auf dem PC.
=> Das System ist als kompromittiert anzusehen und sollte von dir neu aufgesetzt werden.

Halte dich dabei bitte unbedingt an diese Anleitung.

gehört glaube ich auch dazu... C:\WINDOWS\System32\taskgmr.exe

Zitat:

Zitat von Hoodlum

gehört glaube ich auch dazu... C:\WINDOWS\System32\taskgmr.exe

Ja, es handelt sich dabei um einen dieser Schädlinge -> http://castlecops.com/s8101-taskgmr_exe.html

Zitat:

Zitat von Haui45

Du hast leider mehrere Würmer mit Backdoor-Funktionalität auf dem PC.
=> Das System ist als kompromittiert anzusehen und sollte von dir neu aufgesetzt werden.

Halte dich dabei bitte unbedingt an diese Anleitung.

gibt es keine andere Möglichkeit? Das Problem ist. Der PC gehört meinem Vater. Und er hat viele wichtige Daten für die Arbeit auf dem PC.... kann man nicht was machen ohne die Platte formatieren zu müssen?

Zitat:

Zitat von Hoodlum

gibt es keine andere Möglichkeit?

Nein, steht aber in dem Link.

Zitat:

Das Problem ist. Der PC gehört meinem Vater.

Zur Zeit gehört der jmd. anders...

Zitat:

Und er hat viele wichtige Daten für die Arbeit auf dem PC

Umso wichtiger, dass er ein vertrauenswürdiges System hat.
btw: Er hat sicher Backups von so wichtigen Daten. Was macht er, wenn die HD ihren Geist aufgibt?
Warum ist das System nicht auf dem aktuellen Stand, wenn die Daten wichtig sind?

Zitat:

... kann man nicht was machen ohne die Platte formatieren zu müssen?

Nein.

Das Problem war dass gestern ein Fehler bei der explorer.exe aufgetreten war und ich mit der windows cd wieder repariert habe. Daraufhin hat Norton Anti Virus nicht mehr funktioniert. Bis ich das Problem beheben konnte hat sich das teil auf irgend eine Weise eingeschlichen.... Ich bin am Arsch. Mein Vater bringt mich um.

Es ist sicherlich ärgerlich, aber das ist der einzige Weg, durch den ihr wieder ein vertrauenswürdiges System bekommt.

Ist es sinnvoll den pc bis meine Eltern aus dem Urlaub zurück sind aus zu lassen? Ich weiss ja nicht welche daten er noch braucht. Oder kann man dran arbeiten?

Zitat:

Zitat von Hoodlum

Ist es sinnvoll den pc bis meine Eltern aus dem Urlaub zurück sind aus zu lassen?

Ja.

Zitat:

Oder kann man dran arbeiten?

Wenn, dann nur mit gezogenem Netzwerkkabel. Ich würde ihn ganz auslassen.

In der Zwischzeit kannst du ja das SP2 bestellen (s. Anleitung)

Zitat:

Zitat von Haui45

Ja.


Wenn, dann nur mit gezogenem Netzwerkkabel. Ich würde ihn ganz auslassen.

In der Zwischzeit kannst du ja das SP2 bestellen (s. Anleitung)

wenn du mit SP2 das servive PAck 2 für XP meinst.. es ist ja installiert...

Zitat:

Zitat von Hoodlum

es ist ja installiert...

War es vielleicht vor der Reparaturinstallation installiert, aber zur Zeit ist es nicht drauf!

Zitat:

Zitat von Haui45

War es vielleicht vor der Reparaturinstallation, aber zur Zeit ist es nicht drauf!

dasa kann sein.. wie sehe ich das ob es tatsächlich nicht drauf ist?