Hallo Leute.

Erst mal bitte um Entschuldigung dafür, dass isch mich mit Computern nur sehr wenig auskenne und dareum auch der Terminologie nicht mächtig bin.

Mein Problem.

Laut meinem AVG Vierenschutz habe ich mir gestern einen Trojaner eingefangen.

File: C:\Progrmme\Applications\wcu.exe
Infection: Trojan horse Downloader.Zlob -r.BB
Result: Moved to Virus Vault

Dem nach müßte er separiert oder gelöscht sein, allerdings - in der Taskleiste rechts, da wo ddie Programme aus dem Startmenü erscheinen ist immer noch ein Schutzschild drin (war vorher nicht) welches blinkt mit einem roten X (also durchgestrichen). Wenn ich drauf gehe, geht der Explorer auf und ich lande auf der Seite:

h**p://w*w.antispychecker.com/?aid=1012

welche für Antispycheck wirbt.

Somit habe ich also alles noch drauf was nicht hingehört - oder?

Ich habe mir ein Logfile (was immer es auch sein mag) herstellen lassen und dies ist folgend:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:56:07, on 01.09.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\NT611SVC.EXE
C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\monitor.exe
C:\PROGRA~1\AUTA\TIS200~1\BIN\TbMux32.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\PORTMAP.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\spnsrvnt.exe
C:\PROGRA~1\AUTA\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AUTA\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe
C:\PROGRA~1\AUTA\TIS200~1\bin\java.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\DBMANG.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\WINNT\system32\ubpr01.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\WINNT\twain_32\PUSH650C.EXE
C:\Programme\AVG\AVG8\avgui.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\mshta.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h**p://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://my.ebay.de/ws/eBayISAPI.dll?MyeBay&CurrentPage=MyeBaySummary&migrateVisitor=3&MyeBay=&guest=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://internetsearchservice.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: 393340 helper - {4CE93951-2A8F-4EE0-A4B1-C3F342536A5D} - C:\WINNT\system32\393340\393340.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINNT\cgmopenbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RSPC Driver] dsfs.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunServices: [RSPC Driver] dsfs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [RSPC Driver] dsfs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [wblogon] C:\WINNT\system32\ubpr01.exe
O4 - HKCU\..\Run: [aspch] "C:\Programme\aspch\ASpCh.exe"
O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Programme\Applications\wcs.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [RSPC Driver] dsfs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: PUSH650C.lnk = C:\WINNT\twain_32\PUSH650C.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O15 - Trusted Zone: h**p://*.update.microsoft.com
O15 - Trusted Zone: h**p://download.windowsupdate.com
O15 - Trusted Zone: h**p://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208343776734
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O22 - SharedTaskScheduler: babblement - {d3b82107-f8fa-4ef3-8066-136e22872d4e} - C:\WINNT\system32\sjrggq.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: bh611 - Bell& Howell - C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\NT611SVC.EXE
O23 - Service: Bell & Howell Monitor Service (BHMonitorService) - Bell & Howell - C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\monitor.exe
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - C:\PROGRA~1\AUTA\TIS200~1\BIN\TbMux32.exe
O23 - Service: Bell & Howell Database Manager (dbmang) - Bell & Howell - C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\DBMANG.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ONC/RPC Portmapper (portmapper) - Bell & Howell - C:\Programme\AUTA\StromlaufOpel\BHROOT\BIN\PORTMAP.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINNT\system32\spnsrvnt.exe
O23 - Service: TIS 2000 Apache Web Server - Unknown owner - C:\PROGRA~1\AUTA\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe

--
End of file - 9530 bytes

Kann mir bitte irgend jemand einen Tipp geben, wie ich meinen Computer wieder "sauber" bekomme, wenn möglich ohne die Festplatte neu zu formatieren, da ich da sehr viele Sachen drauf habe, die ich nicht verlieren kann/will/darf.

Wenn noch irgendwelche Informationen benötigt werden, bitte melden, werde versuchen was ich kann.

Ich bedanke mich im voraus für die Hilfe und die ganze Mühe.
Ich glaube, Virenprogrammierer sollten psychiatrisch untersucht werden, denn was die an Zeit, Geld und unwiderbringlichen Verlusten verursachen, sollte auch ihnen zugefügt werden.

Danke

Rudi

Halli hallo habl und

Einen Win2k Rechner durchs WorldWideWeb zu bewegen grenzt an Wahnsinn.

Du solltest dringend auf eine aktuelles OS wie XP oder Vista wechseln!

Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport.

Sicher wird der PC dadurch unter keinen Umständen!

hallo.
danke für die mühe.
keine von den dort angegebenen adressen hat funktioniert - bzw. die runtergeladenen programme konnte man nicht in gang bringen.
habe es im endeffekt mit esed software eigentlich problemlos runterbekommen.
danke dennoch und viel erfolg noch.

gruß

habl

übrigens - darum win2000, weil sich eigentlich keinenr mehr mühe macht für diese plattform viren und anderen dreck zu entwikeln - das war meine annahme, aber offenbar falsch :-)

Zitat:

Zitat von undoreal

Halli hallo habl und

Einen Win2k Rechner durchs WorldWideWeb zu bewegen grenzt an Wahnsinn.

Du solltest dringend auf eine aktuelles OS wie XP oder Vista wechseln!

Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport.

Sicher wird der PC dadurch unter keinen Umständen!