habe hier einen infizierten Win XP Rechner stehen.

War im inet, aber nur mit service pack 1.

Ich poste hier mal eine escan auswertung und ein aktuelles HJT.

Sagt mir bitte, ob es sich lohnt daran noch was zu machen oder ob ich das system gleich neu aufsetzten sollte. Muss ich irgendwas beachten was das erstellen von BackUps angeht? Welche dateiformate sollte ich auslassen?

Info zum Neuaufsetzten habt ihr ja hier im Forum schon gepostet, danke.

escan:

Mon Jan 02 13:14:22 2006 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Mon Jan 02 13:14:23 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Mon Jan 02 13:14:23 2006 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Mon Jan 02 13:14:23 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Jan 02 13:14:23 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Jan 02 13:14:23 2006 => System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Mon Jan 02 13:15:22 2006 => System found infected with bearshare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Mon Jan 02 13:15:22 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken.
Mon Jan 02 13:15:22 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Mon Jan 02 13:15:24 2006 => System found infected with trojan.zlob.e Browser Hijacker (nvctrl.exe)! Action taken: No Action Taken.

Mon Jan 02 13:15:25 2006 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken.



HJT:

Logfile of HijackThis v1.99.1
Scan saved at 19:08:12, on 02.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Programme/TOSHIBA/Free%20Update%20Service/splash.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp85BA.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Zitat:

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp85BA.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

Diese Einträge sind wahrscheinlich Mist.
Hattest Du einen gewissen Grundschutz wenigstens? Router, Dienste vernünftig konfiguriert whatever? Oder wenigstens die Patches installiert, die die RPC- und LSASS-Lücken schließen? Denn im SP1 sind m.W. diese Patches noch nicht enthalten. Ich würde daher mit einem Windows-XP-Rechner ohne das SP2 keine Internetverbindung aufbauen.

der PC ging über den arcor standart router ins netz. Ist nicht meiner. Ich hätte ohne sp2 auch keine verbindung mit dem inet aufgebaut.

meines erachtens ist da nur sp1 drauf gewesen, danach keine neuen updates mehr. Aber antivir ist drauf. auch auf dem neusten stand.

ich hoffe das hilft dir.

PS: Es blinkt rechts unten in der startleiste auch ein symbol, im wechsel das windows autoupdatezeichen und ein rotes ausrufungszeichen. Ich halte das für ne spyware, die verwirren soll und darauf hinweist, das man maleware drauf hat und das system von ihrer software, spyaxe prüfen lassen soll.

Durch den Router bist Du immun gegen Würmer, die die RPC- oder LSASS-Lücke nutzen ("Blaster" und "Sasser"). Es bleiben noch über die Einfallstore durch Mailwürmer, Browser und externe Datenquellen (CDs, Disketten).
Da die Java-Version auch nicht aktuell ist, könnte das auch ein potentielles Einfallstor sein (Java-Exploits).
Wenn Du wirklich sicher gehen willst, dass _alles_ entfernt wird -> System neuaufsetzen
Gehst Du ein gewisses Restrisiko ein -> eScan walten lassen und Logfile davon posten, danach manuelles bereinigen.

eScan alleine wird leider nicht reichen um Spyaxe zu entfernen.

Lade dir ClearProg herunter.
Lade und aktualisiere eine Testversion von ewido. Noch nicht scannen.
Führe das aus, was hier beschrieben ist.

Mach danach bitte zusätzlich: folgendes:
Lösche die Temp-Files von Windows und vom Internet Explorer mit ClearProg.
Scanne mit ewido im abgesicherten Modus. Lass das was er findet löschen und speichere den Report.
Lade SmitfraudFix herunter -> Entpacke es-> Starte die smitfraudfix.cmd-> Option 1 wählen-> Logfile posten (rapport.txt im gleichen Ordner wie die smitfraudfix.cmd)

Poste dann diese Logs:

• HijackThis
• Silent-Runners
• eScan
• ewido
• smitrem
• WinPFind
• SmitfraudFix

Jahaa, man kann alle möglichen Removal-Tools durchlaufen lassen, aber wird alleine das reichen? Nat. alles mit einem ->