Hallo, erstmals bin ich froh´ dass ich dieses Forum gefunden habe.

Ich sitze am PC meines Vaters Windows XP Home SP2, der sich wohl im Mai 2005 div. Würmer und Trojaner eingehandelt hat. Aufgefallen ist es ihm erst jetzt, da unerwünschte Internet-Fenster immer wieder gekommen sind (b...php).

Was bisher geschah:
Da Norten Antivirus 2006 nicht installiert werden kann, da der neueste Windows 3.1 Installer fehlt, wollte ich diesen installieren. Das gelang und gelingt immer noch nicht. Installation wird mit einer nichtssagenden Fehlermeldung abgebrochen (Fehler 0x8007002), auf die die Microsoft Hotline auch nicht viel weiß.

Der Online-Scan von Symantec hat jede Menge Würmer und Trojaner gefunden und z.T. auch entfernt. Der Online Scan von ewido hat noch weitere entfernt. Ein Tool von Microsoft (Windows-KB890830-V1.15.exe) zum Entfernen bösartiger Software hat auch noch etwas gefunden.

Ich weiß jetzt nicht, ob nicht noch weitere Dateien etc. infiziert sind, daher das log, das HijackThis produziert hat - mit der Bitte um sachdienliche Hinweise.

Logfile of HijackThis v1.99.1
Scan saved at 21:51:14, on 27.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\SONY\MSAC-FD1\MSSTAT.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.t-online.d*/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 2.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Memory Stick Monitor.lnk = ?
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.c*m/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.n*t/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - h**ps://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144343996875
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144487402640
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D637D4B-DE5D-420E-A6E2-5C25E847C2D0}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{7721B0EB-2D7C-4C42-868F-AC90318A3A79}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing)

Also erstmal zur Fehlermeldung:

0x.....

Ansonsten sieht das Log meiner Meinung nach ganz gut aus. Keine Anzeichen für einen Befall!

Gruß
Daniel

Hi Daniel,
erstmals vielen Dank für´s Checken. Schön dass, das System anscheinend sauber ist.
Aber irgendwie spinnt die Kiste immer noch. Alle Microsoft Security Updates (seit 2005), die ich downloade, landen als korrupte Dateien auf dem PC. Das ist auch beim Download der Spy-Software Spybot passiert. Andere Programme konnte ich downloaden, natürlich Hijackthis, aber auch die SW von Lavasoft. Was kann das nur für eine Ursache haben???

Deinen weiterführenden Link wegen des Fehlers kann ich leider auch nicht öffnen. Die Google-Toolbar blockiert das, warum auch immer.

Das nervt alles etwas, weil ich nicht verstehe, was hier passiert.

Hast Du oder vielleicht jemand anderer von den Foumsmitgliedern eine Idee, was ich noch prüfen sollte/könnte.

Besten Dank
Sabine

@sabine007

Zitat:

Aber irgendwie spinnt die Kiste immer noch.

Das beweist nur, dass einmal kompromittiertem System man nicht mehr vertrauen kann (mehr dazu: hier) . Ergo Meine Ratschläge:
- Eigene wichtigen Dateien sichern
- PC nach verlinkten in meiner Signatur Anleitung neu aufsetzen und vernünftig absichern.
- Norton verkaufen, verschenken, in Müllkorb schmeißen .
Bitdefender, McAfee, KAV, NOD32- alles ist besser, als Norton.