Hallo!
Zunächst sollte ich vielleicht anmerken, dass ich wenig bzw. keine Erfahrung mit der Beseitigung von Viren, Trojanern, etc. habe, aber irgendwann muss man ja mal anfangen..

So, zu meinem eigentlichen Problem; ich hoffe, ich vergesse keine notwendigen Angaben:

Ich benutze Windows 2000, das AntiVirenprogramm AntiVir (kostenlose, neueste Version), die Firewall Sygate (weil Zone Alarm nach dem letzten Update nicht mehr geklappt hat) und den Browser Firefox.
Seit gestern bekomme ich ständig Meldungen von meinem Antivirenprogramm, dass "ein Virus oder ein ungewolltes Programm" auf meinem PC gefunden wurde.
Zunächst waren es "nur" diese zwei:

In C:\WINNT\System32\mswinsfixers.exe ist die Signatur des Worms "WORM/Sdbot.39772"

Und der Trojaner "TR/Spy.Banbra.df.199" befindet sich dort:C:\WINNT\TfxsbGVy\comman.exe

Mittlerweile kommen aber noch weitere Meldungen, nämlich:

Der Trojaner "TR/Dldr.Smartl.A.2" in C:\Warebundlenewer.exe
und ein weiterer Trojaner namens "TR/Dldr.small.buy.1" in C:\MTE3NDI60DoxNg.exe

und wenn mich nicht alles irrt, sah ich eben eine weitere neue Meldung..oO

HJT habe ich mir bereits runtergeladen und folgendes ist mein Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 18:34:02, on 22.7.2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\TfxsbGVy\command.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\smsc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\dfndred_7.exe
C:\kybrded_7.exe
C:\nwnmed_7.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\WINNT\system32\ntvdm.exe
c:\progra~1\mozill~1\firefox.exe
C:\WINNT\Explorer.exe
C:\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\**\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\**\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {02E2DCF3-FAD3-4BEC-ACB3-A28D4C8B2FB1} - C:\WINNT\System32\neushell.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {D559FC58-9922-48B8-9D5E-485D8CBA58EF} - C:\WINNT\System32\mbbf.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Jan\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Windows Runtime Fix] mswinsfixers.exe
O4 - HKLM\..\Run: [defender] C:\\dfndred_7.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrded_7.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmed_7.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows Runtime Fix] mswinsfixers.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {4DD9C11B-A25D-4C66-BFB1-CAB2B36C364F} - C:\WINNT\System32\mbbf.dll
O18 - Filter: text/plain - {4DD9C11B-A25D-4C66-BFB1-CAB2B36C364F} - C:\WINNT\System32\mbbf.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\TfxsbGVy\command.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Windows Idle Process - Unknown owner - C:\WINNT\system32\smsc.exe




So, wie soll ich jetzt weiter vorgehen?
Sollte ich den PC am besten auf den Müll schmeißen oder ist da noch was zu retten?
(Wie kommt es, dass plötzlich so viele Trojaner etc gefunden werden?)

Wäre sehr dankbar für Hilfe!

(Hoffentlich habe ich das richtige Forum ausgewählt..)

Zitat:

Zitat von LaNeg

Zunächst waren es "nur" diese zwei:

In C:\WINNT\System32\mswinsfixers.exe ist die Signatur des Worms "WORM/Sdbot.39772"

Das ist schon Grund genug um das System neu zu installieren, zumal das hier..

Zitat:

Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

...in diesem Falle der 2.Grund währe! Hast du schon mal was von Sicherheitsupdates gehört?

Zitat:

Der Trojaner "TR/Dldr.Smartl.A.2" in C:\Warebundlenewer.exe
und ein weiterer Trojaner namens "TR/Dldr.small.buy.1" in C:\MTE3NDI60DoxNg.exe
(Wie kommt es, dass plötzlich so viele Trojaner etc gefunden werden?)

Das sind die Unmengen an Trojaner auf deinem System, die laden sich nach und nach immer weiter nach!

Ich kann dir nur noch empfehlen die wichtigsten Daten zu retten und dein System neu aufzuspielen! Eine andere Möglichkeit gibt es absolut nicht mehr...NEIN, wirklich nicht!

Das ist deine Sammlung:
*Wurm W32/Gaobot
*MIMAIL.M VIRUS
*BUDDY VIRUS
sowie noch jede Menge Spyware...

Sorry,
Daniel

MOin Mellosun

Hallo,

wieso du aufeinmal Probleme hast?

Zitat:

Zitat von LaNeg

Logfile of HijackThis v1.99.1
Scan saved at 18:34:02, on 22.7.2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Auch wenn du Firefox nutzen tust. Der IE ist bestandteil des Betriebssystems. Auch dieser sollte regelmäßig auf den neusten Stand gebracht werden!

Also, da du W32/Agobot-EV auf Deinem System hast, kann nur eine Neuinstallation Sicherheit bringen.
Es ist noch mehr Ungeziefer auf dem Rechner.......bereinigung sinnlos!

Befolge den Link in meiner SIG zum Neuaufsetzen!


Gruß Mellosun


EDIT: Mahlzeit Daniel
Warst wieder schneller....

Zitat:

Zitat von [Gc]Sunny

...in diesem Falle der 2.Grund währe! Hast du schon mal was von Sicherheitsupdates gehört?

sehr wohl..
ich benutze den Internet Explorer nicht!!!!(Es gibt allerdings noch andere Personen, die diesen PC mitbenutzen..)
Und Firefox ist auf dem neusten Stand.

editkay, wusste nicht, dass man ie trotzdem updaten muss..

Okay, dann muss es wohl sein.
Danke trotzdem...

Zitat:

Zitat von LaNeg

editkay, wusste nicht, dass man ie trotzdem updaten muss..

Doch musst du, auch wenn der IE nicht genutzt wird, bleibt er Bestandteil von Windows! Und so weit ich mich errinnere gehört das Service Pack1 nicht nur zum IE sondern zum Ganzen, nämlich auch zu Windows...daher stammt höchst wahrscheinlich auch die Kompromittierung

Also schnell den Rechner vom Netz nehmen und alles platt machen...lies dir mal durch was alles passieren kann/könnte wenn du es so lässt wie es ist:

http://www.trojaner-board.de/showthread.php?t=12154

Gruß
Daniel