Hallo Zusammen und hallo liebes Kompetenzteam,

ich möchte dringend den oben genannten Trojaner von meinem Notebook entfernen. Das von HijackThis erstellte log sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 20:29:45, on 03.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Oleco\_oleco.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Jan\LOKALE~1\Temp\Rar$EX00.501\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Jan\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Jan\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\System32\hpF492.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe /auto
O4 - HKLM\..\RunServices: [System32.exe] System32.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [MS Config v13] lrbz32.exe
O4 - HKLM\..\RunServices: [MS Config v3.4] lrbz34.exe
O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126363472460
O17 - HKLM\System\CCS\Services\Tcpip\..\{675B147F-1416-4ACA-8E9C-C27D09A1166B}: NameServer = 62.104.191.241 62.104.196.134
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O18 - Filter: text/html - {F24EE2ED-B5D4-46A6-B150-E6C6C67BA1DC} - C:\WINDOWS\System32\alkpda.dll
O18 - Filter: text/plain - {F24EE2ED-B5D4-46A6-B150-E6C6C67BA1DC} - C:\WINDOWS\System32\alkpda.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Ich habe schon öfter Probleme mit Viren und Würmern gehabt... Diese aber leider immer auf eigene Faust bzw. mit hilfe von AntiVir gelöst und bitte nun um Experten-Beratung...

Grüße und besten Dank im Voraus,

Jan

Hallo,


das System ist leider total verseucht. Es befinden sich u.a. die folgenden Schädlinge auf dem System
http://www.sophos.de/virusinfo/analyses/trojsdbotu.html
http://www.f-secure.de/v-desk/sdbot_mb.shtml
usw...

Da es sich dabei um gefährliche Netzwerkwürmer handelt, die einem Fremden uneingeschränkten Zugriff auf das System erlauben, ist es als kompromittiert anzusehen und sollte neu aufgesetzt werden. Warum eine einfache Bereinigung nicht ausreicht, kannst du u.a. hier nachlesen.


Der Grund für den Zustand "deines" System ist v.a. hier zu suchen

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Das Service Pack 2 für Windows XP sowie weitere wichtige Updates fehlen!

Hallo Haui,

danke für die schnelle Antwort... Mir bleibt also nix anderes übrig als Windows Xp neu zu installieren!!! God damit!!!

Na ja, wenigstens weiß ich nun woran ich bin...

Das mit dem Service Pack liegt überigens an einer Fehlermeldung beim Update auf der Microsoft Seite, welche ich nicht beeinflussen konnte.

Nochmal ne kleine Frage zum Abschluß:
Neu Aufsetzen bedeutet nicht das ich alles löschen muss, oder???

Gruß

Jan

Zitat:

Zitat von shellac

Neu Aufsetzen bedeutet nicht das ich alles löschen muss, oder???

Doch, neu aufsetzen bedeutet genau das.

Zitat:

Zitat von Cidre

Q: Was bedeutet Neuaufsetzen?
A: Es sollte mindestens die System-Partition (i.d. Regel C:), besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert.