Ich habe mir eine Reihe von Trojanern eingefangen. Nach diversen Säuberungsversuchen sehen die Logs von HJT und escan nun wie unten angezeigt aus.

Was muss ich tun, um den verbleibenden Trojaner loszuwerden? Danach ist dann wohl erst einmal ein Updaten des Systems angesagt.

Danke im Voraus für die Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 17:52:47, on 14.08.2005
Platform: Windows XP SP1
MSIE: Internet Explorer v6.00 SP1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.***.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe


Escanlog:


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sun Aug 14 13:57:07 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
2: Sun Aug 14 14:21:27 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0011788.exe infected by "Trojan-Dropper.Win32.Vidro.p" Virus! Action Taken: No Action Taken.
3: Sun Aug 14 14:21:29 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0012786.exe infected by "Trojan-Dropper.Win32.Vidro.p" Virus! Action Taken: No Action Taken.
4: Sun Aug 14 14:21:30 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0012801.exe infected by "Trojan-Dropper.Win32.Vidro.p" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sun Aug 14 14:21:01 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0007033.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
2: Sun Aug 14 14:21:01 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008055.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
3: Sun Aug 14 14:21:02 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008079.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
4: Sun Aug 14 14:21:02 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008093.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
5: Sun Aug 14 14:21:03 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008140.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
6: Sun Aug 14 14:21:04 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP20\A0008183.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
7: Sun Aug 14 14:21:08 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0008247.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
8: Sun Aug 14 14:21:08 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0008288.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
9: Sun Aug 14 14:21:09 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0009305.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
10: Sun Aug 14 14:21:10 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0009362.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
11: Sun Aug 14 14:21:12 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0009426.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
12: Sun Aug 14 14:21:28 2005 => File C:\System Volume Information\_restore{D3DD7A8B-92E5-40BF-824F-BAF170BF4A1B}\RP21\A0011797.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.

Hi,
abgesehen davon, daß Dein System nicht auf dem neuesten Stand ist (SP2 fehlt), ist auch das HJT-Logfile unvollständig.
Bitte ganz posten!
Dann leere mal den Quarantäne-Ordner von Deinem Antivir.
Außerdem Systemwiederherstellung deaktivieren, Rechner ausschalten, Rechner an und dann wieder die Systemwiederherstellung aktivieren, um den Recycler leerzukriegen.
cacatoa

Hallo,

ich habe die Ratschläge befolgt.

Das vollständige HJT-LOG sieht jetzt wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 07:21:39, on 16.08.2005
Platform: Windows XP SP1
MSIE: Internet Explorer v6.00 SP1

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\SerExt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe
C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***p://www.***.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

Escan sagt trotz lt. Statistik 1 gefundenen Virus, dass keine Dateien zum Löschen existieren und gibt daher kein Log aus.

Ist mein System jetzt "clean"?
Danke!

Zitat von Thorsten19:

Zitat:

ich habe die Ratschläge befolgt.

Nein, hast du nicht. Dir fehlt immer noch das Service Pack 2:

Zitat:

Platform: Windows XP SP1
MSIE: Internet Explorer v6.00 SP1

ansonsten fällt mir jetzt erst mal nichts auf.
Was hat eScan gefunden? Pfad und Bezeichnung angeben!
cacatoa

O.K., habe ich nicht geschrieben: XP SP2 packe ich auf das System, bevor ich das nächste Mal online gehe. Erst einmal wollte ich allerdings das System virenfrei bekommen.

Bzgl. Escan: Es wurde eben nichts gefunden, lediglich in der Statistik-Zusammenfassung am Ende gibt es als Auswertung 1 Virus. Escan weigert sich aber beharrlich, die übliche Logauswertung ("infected", "tagged") zu machen, und zwar unter dem Hinweis "es wurden keine Dateien zum Löschen gefunden".

Hallo@Thorsten19

wenn du die Systemwiederherstellung deaktivierst, sie dann wieder aktivierst, SP2 laedst, dann ist alles in Ordnung

ansonsten: Onlinescans
http://nikita.eddys-domain.de/onlinescan.html