hallo,
ich bin neu hier und habe folgendes problem:
eben habe ich mal wieder eine systemüberprüfung mit antivir gemacht und er hat zum ersten mal einen fund angezeigt und zwar : WORM/Raleka.I.8
ich habe das virus in quarantäne geschickt und es dort gelöscht. was soll ich jetzt noch machen, damit das virus komplett von meinem pc weg ist und wie weiss ich, das es endgültig weg ist ?
nachdem ich es gelöscht hatte habe ich nochmals eine komplette systemüberprüfung gemacht und es wurde nichts mehr angezeigt, ist das jetzt ok ?
der ort wo antivir es gefunden hat heisst; c:/winnt/system32/down.com
ich habe im internet gegoogelt, aber es kamen nur informationen über raleka c oder a oder b aber nichts über i. ist das ein neuer virus und was stellt der an ?
ich muss dazu noch sagen, dass ich keine ahnung von pc habe, oder nicht viel, deswegen wäre ich über eine rasche antwort sehr dankbar, weil ich angst habe, jetzt noch irgendwas zu mahen im internet, wo man ein passowrt braucht.

danke

soho7788

hier noch ein nachtrag: das ist der report von antivir hierzu, vielleicht hilft das ja: ich weiss auch nicht mehr weiter:



C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\down.com
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Raleka.I.8
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '' verschoben!


Ende des Suchlaufs: Montag, 8. Oktober 2007 23:35
Benötigte Zeit: 31:04 min

Der Suchlauf wurde vollständig durchgeführt.

1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden

ich habe mich jetzt fast 3 stunden hiermit rumgeschlagen und gehe jetzt schlafen.

Hi
Konfiguriere Antivir bitte aggressiv, dann machst du einen Kompettscan und steckst alles unter Quarantäne was gefunden wird!
Poste dann Bitte noch ein Hijackthislog!
Mfg

Hallo, so ich habe jetzt Antivir agressiv gemacht nach Anleitung (hoffe richtig) und habe ein hijackthislog gemacht. das ist dabei rausgekommen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:36, on 09.10.2007
Platform: Windows 2000 (WinNT )
MSIE: Internet Explorer v6.00 SP1 ()
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\hotkey.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\Telekom\..\Capictrl.exe
C:\Programme\Telekom\...\HNetCtrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\antivir personaledition classic\avscan.exe
C:\WINNT\System32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www../.../suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.-...de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9....} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E7188....} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hotkey] hotkey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {} - (no file)
O16 - DPF: {} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
C:\WINNT\System32\dmadmin.exe

--
End of file - 4157 bytes





was bedeutet das jetzt ? ich habe oben gesehen das da irgendwo steht: programm.....gemein......ist das der Virus ?
beim konfigurieren von antivir und anschl. suchlauf ist nichts herausgekommen:
hier nochmals der report dazu:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 9. Oktober 2007 11:50

Es wird nach 869197 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer:
Plattform: Windows 2000
Windowsversion:
Benutzername:
Computername: LAPTOP

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 9. Oktober 2007 11:50

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '16377' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HNetCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Capictrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ErTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winmgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hidserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '20' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <Lokaler Datenträger>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\' <KIS7Update>


Ende des Suchlaufs: Dienstag, 9. Oktober 2007 12:15
Benötigte Zeit: 25:05 min

Der Suchlauf wurde vollständig durchgeführt.

1441 Verzeichnisse wurden überprüft
70721 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
70721 Dateien ohne Befall
459 Archive wurden durchsucht
1 Warnungen
0 Hinweise
16377 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

also, antivir sagt, das alles ok ist, aber ich glaube das nicht.
kann mir einer weiterhelfen ?




und nochmals vielen dank für die beschreibungen von aggressiv und hijackthislog. das hat mir sehr geholfen.
lg soho

Du hast Windows 2000?
Hast du das SP4?

Dann lade Bitte folgenge Datei bei Virustotal hoch:
C:\WINNT\System32\hotkey.exe
und suche die teekids.exe auf deinem System und lade sie ebenfalls hoch!
Mfg

EDIT: stimmt, das mit dem Scan von Antivir habe ich übersehen! Danke Lavla:
Mache den Scan also nochmal mit richtigen Einstellungen!

Hm, sieht so aus, als hättest Du die Konfiguration nicht so durchgeführt wie beschrieben:
"Dateiheuristik: mittel" sollte auf hoch, bei "Abweichende Gefahrenkategorien" steht in der Anleitung, dass Appl nicht markiert sein sollen. Auch die Rekursionstiefe ist bei Dir noch eingeschränkt. Vielleicht machst Du mit den richtigen Einstellungen den Scan nochmal.

Laut HijackThis ist dieser Eintrag ein Zeichen vom BLASTER.C VIRUS:
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe

Bis .::||::. Dir antwortet, könntest Du die teekids.exe ja mal suchen und bei virustotal.com checken lassen.

Viel Glück

hallo,
ich habe noch sp1. ich habe aber eine download seite gefunden wo man das sp4 runterladen kann, dauert nur sehr lange, aber mache ich morgen auch.
bei virustotal war die hotkey.exe ohne befund, also ok.

ich habe teekids.exe gesucht, aber nichts mehr gefunden. auch kein msblast oder penis.exe. hat es sich vielleicht umbenannt ?
ich habe nochmals einen hijack gemacht und da ist das auch nicht mehr drauf:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:05, on 09.10.2007
Platform: Windows 2000
MSIE: Internet Explorer
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\hotkey.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\capictrl.exe
C:\Programme\\HNetCtrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {
- C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hotkey] hotkey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (r')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - - (no file)
O16 - DPF: {} (Yahoo! Audio Conferencing) - http://ab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (
O23 - C:\WINNT\System32\dmadmin.exe

--
End of file - 3843 bytes





ist jetzt alles weg und ok ?
antivir agressiv machen tue ich morgen, dann drucke ich mir die anleitung an einem anderen pc aus und kann alles in ruhe konfigurieren.

trotzdem ich danke euch echt für alles, ohne euch wäre ich nie soweit gekommen,
lg soho

ah, mir ist noch aufgefallen, dass ich 2 mal svchost.exe habe, hat das was zu bedeuten ? ich dachte man braucht nur eines ?

2mal svchost.exe ist ok, machmal taucht sie 6mal auf

Mache Bitte einen eScan wie in meiner Signatur beschrieben und poste das Log mithilfe der find.bat!
Ich fahre heute in Urlaub und werde dir für die nächsten 10 Tage nicht helfen können!
Mfg

Hallo, ok ich mache den escan und pote das ergebnis hier.
lg soho