Hallo zusammen!

Bin ganz neu hier, bin was diese Thematik betrifft auch leider Newbee und hoffe auf eure Hilfe!

Nachdem ich mir einen Trojaner eingefangen habe, der wahrscheinlich in meier Systemwiederherstellung saß, hab ich vorsichtshalber XP von meinem Rechner geschmissen und neu installiert (kein format c:, kein auflösen der Partitionen).

Leider war das Viech nach Neuinstallation immnoch da, mein Antivir meldete:


23.07.2008 02:34 [Scanner] Malware gefunden Die Datei 'G:\System Volume
Information\_restore{64501072-4612-403D-82F5-09AD7C098050}\RP123\A0045819.EXE' enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.


Die Datei 'G:\System Volume Information\_restore{64501072-4612-403D-82F5-09AD7C098050}\RP123\A0045818.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Danach kein neuer Treffer mit Antivir! Bin mir jetzt sehr unsicher, ob ich "safe" bin, oder nicht...Als Backup für wichtige Daten hab ich meine Externe Platte genommen. Falls da jetzt ein Virus drauf sein sollte, wie geht man vor? hab ich den quasi automatisch auf meinem Rechner, auch wenn ich ein komplett formartiertes, virenfreies System anschließe, wie komme ich also Sorgenfrei an meine Dateien??

Aus verschieden Foren habe ich nun erfahren, dass euch eine Logfile zur Identifizierung meines Problems helfen könnte, also habe ich MWAV und HijackThis gesaugt.


C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "G:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "G:\Avira\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216736750406
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - G:\Avira\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - G:\Avira\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe

--
End of file - 4870 bytes



MWAV meldet


23 Jul 2008 09:42:39 - ***** Scanning complete. *****
23 Jul 2008 09:42:39 - Total Objects Scanned: 162742
23 Jul 2008 09:42:39 - Total Critical Objects: 2
23 Jul 2008 09:42:39 - Total Disinfected Objects: 0
23 Jul 2008 09:42:39 - Total Objects Renamed: 0
23 Jul 2008 09:42:39 - Total Deleted Objects: 0
23 Jul 2008 09:42:39 - Total Errors: 23
23 Jul 2008 09:42:39 - Time Elapsed: 00:39:58
23 Jul 2008 09:42:39 - Virus Database date: 17 Jul 2008
23 Jul 2008 09:42:39 - Virus Database Count: 963552

23 Jul 2008 09:42:39 - Scan Completed



Objekt "ezula Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\system32\ZoneLabs\isafeif.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\system32\ZoneLabs\vetredir.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\mscorlib.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\mscoree.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\System.Drawing.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\System.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\System.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINXP\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".KEY". Maßnahme ergriffen: Keine Maßnahme ergriffen.






Für einige Tipps wäre ich sehr dankbar!!! Viele GRüße

Hallo

deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Führe anschließend ein Update deines Antivirenprogramms durch und lass dein System im abgesicherten Modus (beim start F8 drücken) komplett untersuchen.

Berichte bitte ob es noch Funde gibt.

MFG