Liebes Board-Team,

ich habe folgendes Problem:
Vor einigen Tagen hat AntiVir bei meinem Rechner einen Trojaner namens
"Trojan.Bambo.Hosts.A" gefunden. Nach Eingabe in Google (1. Treffer) gelang ich auf Eure Seite.
Ich habe einige Dinge hier bereits nachgelesen nach Anleitung durchgeführt, z.B. hijackthis, SmitFraudFix etc. und habe festgestellt, dass mein Rechner voll von Trojanern und anderen unerwünschten Programmen ist! Anbei die Log Dateien:

1.) hijackthis.log
Logfile of HijackThis v1.99.1
Scan saved at 11:48:51, on 27.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\TUANA\LOKALE~1\Temp\Rar$EX00.117\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1445D360-0C64-4486-9153-2E9D07FC03BC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1445D360-0C64-4486-9153-2E9D07FC03BC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B080414-4DAE-4243-9F57-532153C72C05}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe


2.) SmitFraudFix v2.309

Scan done at 11:59:16,95, 27.03.2008
Run from C:\Dokumente und Einstellungen\...\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\systems.txt FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\...
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\...\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»» End


3.) Anbei das Ergebnis von Spyware Dr.
Weitere Trojaner:
- Trojan.Lop.com
- Rootkit.Agent
- Trojan-PWS.OnlineGames.Kw


Was wären die nächsten Schritte?
Kann ich meinen Rechner noch retten?

Eine detaillierte Anleitung (vorgehensweise) für das löschen von Trojanern bzw. "Ungeziefer" wäre sehr hilfreich.


Ich danke Euch im voraus!

Viele Grüsse,
Isa

Hallo

Zitat:

Vor einigen Tagen hat AntiVir bei meinem Rechner einen Trojaner namens "Trojan.Bambo.Hosts.A" gefunden.

Pfad und Dateiname hätten wir gerne auch gewusst.

Das Smitfraudfix und HijackThis Log scheinen mir unauffällig.
Das Log von Spyware Dr. sagt zwar

Zitat:

- Trojan.Lop.com
- Rootkit.Agent
- Trojan-PWS.OnlineGames.Kw

aber auch hier fehlen die Pfad und Dateiangaben.

Überprüfe dein System bitte mal mit Blacklight
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
Halte während der Überprüfung bitte alle Programme geschlossen und mach nichts anderes am Rechner.
Das Log findest du im selben Ordner wie Blacklight.

Erstelle bitte ein neues HijackThis Log nach dieser Anleitung
http://www.trojaner-board.de/51130-hijackthis.html

MFG

hi, lad dir mal den SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe)
runter und lass den mal im abgesicherten modus durchlaufen.

mfg hanjo2105

Hallo,

anliegend folgende Ergebnisse der Scans:

1.) Black Light
03/28/08 22:55:37 [Info]: BlackLight Engine 1.0.67 initialized
03/28/08 22:55:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/28/08 22:55:40 [Note]: 7019 4
03/28/08 22:55:40 [Note]: 7005 0
03/28/08 22:55:48 [Error]: 6021 2
03/28/08 22:55:52 [Note]: 7006 0
03/28/08 22:55:52 [Note]: 7011 1276
03/28/08 22:55:53 [Note]: 7026 0
03/28/08 22:55:53 [Note]: 7026 0
03/28/08 22:56:06 [Note]: FSRAW library version 1.7.1024
03/28/08 22:57:53 [Note]: 2000 1012
03/28/08 22:57:53 [Note]: 2000 1012
03/28/08 22:58:59 [Note]: 7007 0

2.) HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:31, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} (Java Plug-in 1.5.0_08) -
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 4885 bytes


3.) SDFix:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-03-28 22:46:40
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog303 = C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????????0?????????@??????????????

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Einige Dateien u. Pfade zu den unerwünschten Programmen:
- Die Datei 'C:\System Volume Information\_restore{69A285F1-6575-46FE-BF64-9FAD98E6EB91}\RP516\A0105711.exe'
enthielt einen Virus oder unerwünschtes Programm 'DR/Tool.Reboot.F.59' [dropper].
- Die Datei 'C:\System Volume Information\_restore{69A285F1-6575-46FE-BF64-9FAD98E6EB91}\RP516\A0104711.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Reboot.C' [riskware].
- Die Datei 'C:\System Volume Information\_restore{69A285F1-6575-46FE-BF64-9FAD98E6EB91}\RP516\A0104710.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Hardoff.A' [riskware].
- In der Datei 'C:\Dokumente und Einstellungen\TUANA\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\i7710i4l.default\Cache\79A7E156d01'
wurde ein Virus oder unerwünschtes Programm 'DR/Delphi.Gen' [DR/Delphi.Gen] gefunden.

- Trojan.Lop.com hat die Registrierung von IE infiziert, obwohl ich IE sehr selten nur für Online-Scans verwende.
- Rootkit.Agent ist in der Datei c:Windows\system32\drivers\oreans32.sys enthalten und hat 73 Keys infiziert.

Trojan.Bambo.Hosts.A konnte ich löschen.
Leider wird Trojan-PWS.OnlineGames.Kw nicht mehr gefunden.

Was noch erwähnenswert ist, bei mehrmaligen Versuchen RunThis.bat von SDFix zu starten wird der Rechner kurioserweise ausgeschaltet, um evt. Schäden zu vermeiden!


Wie soll ich als nächstes fortfahren?
Kann ich die infizierten Keys reinigen?

Vielen Dank!

Grüsse,
Isa

Moin

deaktiviere bitte die Systemwiederherstellung

Dann lade dir bitte mal den Ccleaner
KLICK

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System



- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben --> so oft laufen lassen bis keine Probleme mehr zu bereinigen sind.
- Unter "Extras" wähle "Programme deinstallieren"
- klicke auf "Als Textdatei speichern" --> poste den Inhalt der Datei hierher

Wird diese Datei auch von Antivir angemeckert?

Zitat:

c:Windows\system32\drivers\oreans32.sys

Es könnte sich um ein False Positiv deines Doktors handeln,
lass die Datei mal hier Virustotal, hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Anschließend führe bitte einen Onlinescan durch z.B. hier
Free Virus Scan - Kaspersky Lab

MFG

Liebes Team,

anbei der Text von CCleaner:

Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.2 - Deutsch
AFPL Ghostscript 8.53
AFPL Ghostscript Fonts
Audiograbber 1.83 SE
Avira AntiVir PersonalEdition Classic
Azureus
CameraDrivers
CameraUserGuides
CCleaner (remove only)
CIB pdf brewer 1.0.40
Destinations
DeviceManagementQFolder
Funktion
Geo
Google Earth
Hardcopy (C:\Programme\Hardcopy)
HijackThis 2.0.2
hpicamDrvQFolder
InstantShareDevicesMFC
IrfanView (remove only)
IsoBuster 2.3
J2SE Runtime Environment 5.0 Update 8
J2SE Runtime Environment 5.0 Update 9
Java(TM) 6 Update 2
Kaspersky Online Scanner
Lexmark X73
Macrogaming SweetIM 1.2a
Messenger Plus! 3 & Sponsor
MGI PhotoSuite 8.1 (nur entfernen)
Microsoft .NET Framework 2.0
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Mozilla Firefox (2.0.0.13)
MSN
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nero 7 Demo
PanoStandAlone
RedMon - Redirection Port Monitor
Risikomanagement
Risiko-Manager
Security Update für Microsoft .NET Framework 2.0 (KB928365)
Shareaza 2.3.1.0
Sony Ericsson PC Suite 1.20.173
Spybot - Search & Destroy 1.5.2.20
Spyware Doctor 5.5
Status
TrayApp
TuneUp Utilities 2007
TweakPower
Unload
VideoLAN VLC media player 0.8.6d
WebFldrs XP
WebReg


c:\Windows\system32\drivers\oreans32.sys scheint wirklich ein False Positiv vom Dr zu sein, hier das Ergebnis von Virustotal:

File size: 33824 bytes
MD5: 21dc5b289dce2d32a32baab7bcf29a6a
SHA1: b843fe0e71b4475ee390d133fa14aa1d68d1ac0d

Datei oreans32.sys empfangen 2008.03.29 13:09:05 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.29.0 2008.03.28 -
AntiVir 7.6.0.78 2008.03.28 -
Authentium 4.93.8 2008.03.29 -
Avast 4.7.1098.0 2008.03.28 -
AVG 7.5.0.516 2008.03.28 -
BitDefender 7.2 2008.03.29 -
CAT-QuickHeal 9.50 2008.03.28 -
ClamAV 0.92.1 2008.03.29 -
DrWeb 4.44.0.09170 2008.03.29 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5653 2008.03.29 -
Ewido 4.0 2008.03.28 -
F-Prot 4.4.2.54 2008.03.28 -
F-Secure 6.70.13260.0 2008.03.28 -
FileAdvisor 1 2008.03.29 -
Fortinet 3.14.0.0 2008.03.29 -
Ikarus T3.1.1.20 2008.03.29 -
Kaspersky 7.0.0.125 2008.03.29 -
McAfee 5262 2008.03.28 -
Microsoft 1.3301 2008.03.28 -
NOD32v2 2983 2008.03.29 -
Norman 5.80.02 2008.03.28 -
Panda 9.0.0.4 2008.03.29 -
Prevx1 V2 2008.03.29 -
Rising 20.37.51.00 2008.03.29 -
Sophos 4.28.0 2008.03.29 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.29 -
TheHacker 6.2.92.258 2008.03.29 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.28 -
Webwasher-Gateway 6.6.2 2008.03.29 -
weitere Informationen
File size: 33824 bytes
MD5: 21dc5b289dce2d32a32baab7bcf29a6a
SHA1: b843fe0e71b4475ee390d133fa14aa1d68d1ac0d

Den Kaspersky Online Scan habe ich nach 8h bei 40% abgebrochen. Bin gerade dabei ein eScan durchzuführen. Das Ergebnis werde ich im Laufe des Tages posten.

Mein Rechner ist extreeem langsam geworden. Wäre es nicht am sichersten das System zu löschen und alles nochmal neu zu installieren? Kostet mich zwar ein Tag Arbeit, aber ich wäre auf der sicheren Seite. Ich würde dazu das System mit einer Bootdisk starten und mit fdisk die Festplatte formatieren.
Was würdet Ihr vorschlagen?
Wie würdet Ihr die Festplatte bereinigen?

Wie kann ich sicherstellen, dass meine backup Daten auch sauber sind?

Danke Euch im voraus!

MfG,
Isa

Hallo

deinstalliere bitte

Zitat:

Messenger Plus! 3 & Sponsor
J2SE Runtime Environment 5.0 Update 8
J2SE Runtime Environment 5.0 Update 9
Java(TM) 6 Update 2
Azureus <-- solltest du besser wissen
Shareaza 2.3.1.0 <-- solltest du auch besser wissen

einige deiner Programme kenne ich nicht, du solltest aber Programme die du nicht nutzt/kennst deinstallieren.

Lade dir von hier die aktuelle Javaversion
Download der Java-Software von Sun Microsystems

Deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

Erstelle bitte auch ein frisches HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.

Was ist bei dem Onlinescan von Kaspersky rausgekommen, kommt da noch der Bericht?

MFG

Hallo,

hier der RVAXO.Log Ergebnis:
---RVAXO.exe Updated: 2008-04-02---first run---
Uninstallers:

Files found:

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

Gruß,
Isa