Hallo,

der Rechner meiner Schwester (Windows XP) verschickte seit ein paar Tagen per ICQ Links zu ausführbaren Dateien, als ich AntiVir Personal Edition Classic runtergeladen und installiert habe, um das zu beheben. Nun startet sich AntiVir bei jeder Benutzeranmeldung selbständig und beginnt mit einem Scan. Dadurch wird das Laden des restlichen Systems stark verzögert und das Arbeiten mit dem Rechner ist fast unmöglich. Alle paar Sekunden bringt AntiVir eine Fundmeldung zu Worm/Stration.Gen in Dateien in Windows\system32\.

Ich habe mich unter Anderem in diesem Thread über Möglichkeiten zum Entfernen des Wurms informiert. Anschließend hab ich im abgesicherten Modus, in dem ich noch starten kann, HJT durchlaufen lassen, dann das in dem Thread verlinkte Combofix und danach nochmal HJT. Das Problem besteht weiterhin. Die Logs der drei Läufe findet ihr angehängt.

Ich würde mich sehr freuen, wenn ihr mir helfen könntet. Ich möchte nicht unbedingt die Festplatte formatieren.

Halli hallo.

Der Rechner ist toal verseucht! Eine Bereigung macht nur begrenzt Sinn und wird die Systemsicherheit nicht wieder vollständig herstellen. Meine Empfehlung: mache den Rechner neu!
Anleitung findest du in meiner Signatur.


Wenn du eine Bereinigung dennoch versuchen möchtest halte dich an folgende Anweisungen:

Alles in einer Sitzung! Wenn du zu einem Neustart aufgefordert wirst ignoriere dies!

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Deinstalliere Java über die Systemsteuerung.

-Öffne Systemstrg.->Software und suche den "MyWebSearch" Eintrag. Deinstallieren.

-Fixe folgende Einträge mit HJT:

* O20 - Winlogon Notify: rasppowr - C:\WINDOWS\system32\rasppowr.dll (file missing) *

* O20 - Winlogon Notify: prinhhse - C:\WINDOWS\system32\prinhhse.dll (file missing) *

* O20 - AppInit_DLLs: slslwshr.dll confcnn.dll orm78x.dll xdrfmpd6.dll mslbscha.dll e1.dll h48em7.dll *

* O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) *

* O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) *

* O4 - HKLM\..\Run: [ferg] C:\WINDOWS\ferg.exe s *

* O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\sysc10trg.exe *

* O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) *

-Danach lasse cCleaner laufen bis keine Probleme mehr gefunden werden!

-Lasse Silentrunners laufen und poste die logFiles..

-Lasse Combofix noch einmal laufen und poste den erscheinenden Text.

-Durchsuche mit Lavasoft und Spybot-S&D sowie AntiVir (alle drei mit aktuellen Signaturen!) dein System.

-Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

-Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

-Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.
Starte den Rechner auch danach nicht neu. Am besten wäre es wenn du bis ich das eScan log habe, wir es ausgewertet haben und du die noch verbleibenden schädlichen Dateien gelöscht hast keinen Neustart vornimmst. Auch wenn das evtl. bedeutet, dass dein Rechner 3 Tage durchläuft.

Ich danke dir vielmals! Und ich werde mich wohl eher für ein Neuaufsetzen entscheiden, ansonsten melde ich mich wieder.

^^ gute Entscheidung