Zitat:

Momentan geht es mir primär darum, alle wichtigen Dateien sichern zu können, um das System dann neu aufsetzen zu können.

Das ist so ein Problem...

Sterte den Rechner im abgesicherten Modus und sichere die Daten. Diese dürfen aber unter keinen Umständen ausführbar sein!! Siehe entsprechende Listen im I-Net.
Desweitern solltest du die Dateien auf jeden Fall mit eScan checken bevor du sie wieder aufspielst; denn auch nicht ausführbare Dateien sind infizierbar.

Ändere nach dem Neuaufsetzten oder von einer anderen Maschine aus dringend alle Passwörter und Zugansdaten!!

So, habe das System neu aufgesetzt. Die Daten von D konnte ich retten, nachdem ich div. Sackgassen (Reparaturinstallation/Saveboot) überwunden hatte. Auf D war lediglich HijackThis infiziert, wie ich nach der sofortigen Installation von Sophos feststellte. Habe die Datei dann sofort entsorgt. Werde später mal testen, ob das System jetzt komplett sauber ist.

Das System ist defintiv NICHT vertrauenswürdig!!!!
Du musst ALLE Platten komplett formatieren!!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:29, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
d:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
D:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\DOKUME~1\***\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Sophos\Sophos Anti-Virus\SAVMain.exe
d:\Programme\Sophos\Sophos Anti-Virus\SavProgress.exe
D:\Programme\HiJackThis\HijackThis.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

O4 - HKLM\..\Run: [INPROCOMMWireless] d:\Programme\Atheros\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = D:\Programme\Sophos\AutoUpdate\ALMon.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: d:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - d:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - d:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - d:\Programme\Sophos\AutoUpdate\ALsvc.exe

--
End of file - 2829 bytes
         

Was soll ich mit dem log?

Ich hab dir die Chance gegenben den Rechner zu bereinigen. Du wolltest aber neuaufsetzten.
Nun wo du Teile des Schädlings gelöscht hast ist nahezu unmöglich die anderen aufzuspüren.. Wir wissen ja nichtmal genau was los war..

Formatiere ALLE Platten und setzte das System neu auf!

Entschuldige bitte, aber du konntest mir gar keine Chance geben, da ich im alten System rein gar nichts machen konnte, wie ich bereits im ersten Beitrag schrieb. Auch nicht im so genannten abgesicherten Modus. Es blieb mir gar nichts anderes übrig, als das System neu aufzuspielen. D: kann ich höchstens formatieren, wenn ich die Daten gesichert habe. Und das ergibt vermutlich erst einen Sinn, wenn ich sicher sein kann, dass die Daten nicht infiziert sind.

Ich habe jetzt escan im abgesicherten Modus drüber laufen lassen. Es wurde ein vermutlicher Trojaner gefunden in der Registry. Sonst nichts.

Ich werde jetzt einfach mal alles brennen, was ich wirklich dringend benötige und nicht ausführbar ist und dann alles formatieren.