Hier mein Problem.

Ein Freund bat mich um Hilfe, da ihm aufgefallen war, das von seinem Rechner seit Juni Datenverkehr da ist, obwohl er selber nichts in dieser Richtung machte.Hab mich dann mit VNC auf seinen Compi geschaltet.Nach einem Scan mit Antivir wurde auch tatsächlich ein Trojaner gefunden.Meinen Recherchen nach im Internet, kam ich zur Überzeugung, dass das System korumpiert ist und nur eine Neuinstallation das Problem beheben wird.
Das System verfügt über drei Partitionen.C, D und E, wobei D und E nur zur Datensicherung benutzt wird.
Mitte Januar hatte ich eine Systemsicherung mit Snapshot gemacht, welche ich nun auf die Partition C zurückspielte.Danach habe ich als erstes den Virenscanner(Antivir) aktualisiert, da er ja auf dem Stand vom 11.01 war und dann das Sytem gescannt.Und siehe da, er wurde fündig.Der Scanner fand den Trojaner TR/Dldr.Tiny.HO.2 und die Dateie ugrnyogj.exe.Ferner hat er BDS/Bifrose.Nu im Ordner Temporary Internet files gefunden.Die beiden Funde hab ich mit Antivir gelöscht und zusätzlich dann denn Temporary Internet files Ordner geleert.
Hier mal der Logfile von Antivir.Die Funde hab ich markiert.

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 30. Juli 2007 21:39

Es wird nach 994425 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 15:45:46
ANTIVIR2.VDF : 6.39.0.194 975360 Bytes 28.07.2007 15:45:46
ANTIVIR3.VDF : 6.39.0.200 46080 Bytes 30.07.2007 19:20:07
AVEWIN32.DLL : 7.4.0.54 2703872 Bytes 30.07.2007 15:45:46
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.13 360488 Bytes 30.07.2007 15:45:46
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 30. Juli 2007 21:39

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GMX_Internet_Manager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DslMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CrystalCPUID.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DslMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fontipp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winvnc4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AWatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '17' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Win XP 1>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\............\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CBG5KTR3\3[1].mpeg
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bifrose.NU
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\ugvuyoqj.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Tiny.HO.2
[INFO] Die Datei wurde gelöscht.


Ende des Suchlaufs: Montag, 30. Juli 2007 22:00
Benötigte Zeit: 21:01 min

Der Suchlauf wurde vollständig durchgeführt.

2431 Verzeichnisse wurden überprüft
191392 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
191390 Dateien ohne Befall
1270 Archive wurden durchsucht
1 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden

Danach deinstalierte ich Antivir, installierte Kasperski und machte einen erneuten Scan.Diesmal ohne Fund.
Heute rief mich mein Freund wieder an und sagte mir, Kasperski hätte wieder angeschlagen und er die Dateien mit dem Antivierenprogramm gelöscht.Hab mich dann wieder draufgeschaltet und tatsächlich:Im Bericht stand, dass wieder der Trojaner Win32.Tiny.Ho gefunden und gelöscht wurde.Ein erneuter Scan ergab dann keinen Fund.
Hab jetzt mal einen Scan mit HijackThis gemacht und wollte mal wissen, ob dass Sytem schon wieder korumpiert ist oder ob sich die Trojaner noch nicht aktiviert haben.Vielleicht kann ja einer von Euch was erkennen.
Hier der Bericht:
Logfile of HijackThis v1.99.1
Scan saved at 20:03:09, on 31.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FonTipp\FonTipp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-DSL Manager\DslMgr.exe
C:\Dokumente und Einstellungen\........\Eigene Dateien\CrystalCPUID48\CrystalCPUID.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\T-DSL Manager\DslMgrSvc.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Hijack\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www..de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go..com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.t.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go..com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.t.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - :C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - :C:\Programme\Java\jre1.5.0_10\bin\ssv.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - :c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] :RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] :nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] :RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] :HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] :RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] :ALCMTR.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] :C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [FLMBROWSEMOUSE2] :C:\Programme\Browser MOUSE\R2M.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] :"C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NWEReboot] :
O4 - HKLM\..\Run: [NeroFilterCheck] :C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [FonTipp] C:\Programme\FonTipp\start.exe min
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKLM\..\Run: [MSMSGNER] :C:\WINDOWS\system32\a.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] :"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] :C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Startup: T-DSL Manager.lnk = C:\Programme\T-DSL Manager\DslMgr.exe
O4 - Startup: Verknüpfung mit CrystalCPUID.exe.lnk = C:\Dokumente und Einstellungen\.......\Eigene Dateien\CrystalCPUID48\CrystalCPUID.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{2352174B-30B4-4ECB-B209-0B68AEBBEFF6}: NameServer = 217.237.151.205 217.237.148.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{75F5EE44-A209-4EB4-8986-6BBD96275159}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{2352174B-30B4-4ECB-B209-0B68AEBBEFF6}: NameServer = 217.237.151.205 217.237.148.70
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Wie kann es denn sein, dass sich im zurückgespielten System schon wieder der Trojaner befindet, da ich mir ziemlich sicher bin, dass das System am Tag der Sicherung(11.01) noch sauber war.Hätte ich C: vorher formatieren sollen?
Bin für jeden Ratschlag sehr dankbar!

Gruß
Paulchen

Zitat:

Zitat von paulchen

Hier mein Problem.
Wie kann es denn sein, dass sich im zurückgespielten System schon wieder der Trojaner befindet, da ich mir ziemlich sicher bin, dass das System am Tag der Sicherung(11.01) noch sauber war.Hätte ich C: vorher formatieren sollen?
Bin für jeden Ratschlag sehr dankbar!

Gruß
Paulchen

system wieder herstellung hilft nicht gegen viren bsw neu inst von windoof helft auch net,

C komplet formatieren, windoof drauf und gut es.

Zitat:

Zitat von aldixx

system wieder herstellung hilft nicht gegen viren bsw neu inst von windoof helft auch net,

C komplet formatieren, windoof drauf und gut es.

Hä, da kann ich jetzt irgendwie gar nichts richtig mit anfangen .Kann sich bitte nochmal jemand anderes zu dem Logfile äußern?

Gruß

Folge dem Link in meiner Signatur (Neu aufsetzen)