Hallo, durch Euer Forum und durch die vielen Hilfestellungen darin konnte ich in den letzten beiden Tagen mit escan und hijacking meine Viren (12 Stück) offensichtlich bereinigen. Escan hat die Dateien, die befallen waren, umbenannt. (Was passiert mit den Original-Dateien und sind die Viren noch da, nur in der alten Datei?

Ich habe jetzt "nur" noch das Problem, dass immer wieder svchost.exe (was immer das ist) abschmiert, und der Rechner dadurch extrem langsam wird, ich auch stellenweise in keine Links mehr reinkomme.

Wisst Ihr Rat?
Bitte schreibt so klar wie für einen Laien nur möglich, ich hab nicht die riesen Ahnung vom Innenleben des PCs.
Tausend Dank, Britta

Hast du E-scan im abgesicherten Modus durchgeführt? Poste doch bitte mal ein HijackThis log:

http://www.trojaner-board.de/42731-escan-anleitung.html
http://www.trojaner-board.de/51130-a...ijackthis.html


Welche Viren wurden gefunden?

Sorry, dass die Antwort so lange dauert, aber auch der Explorer steigt aus und ich versuche schon zum vierten Mal zu antworten.
Nein, ich habe nicht im abgesicherten Modus gescannt, weil ich in den Link, wie ich es machen soll, zur Zeit nicht reinkomme.

Die Escan Logfile von gestern ist mit den Daten von heute überschrieben, aber ich habe definitiv als Viren W32, Backdoor Rbt sowie ein Saas irgendwas gesehen, noch ein Trojaner, also die ganze üble Palette.
Ich habe eine Firewall installiert und frage mich jetzt allen Ernstes wozu eigentlich.

Hier der hijack-Scan von eben:
Logfile of HijackThis v1.98.2
Scan saved at 16:27:30, on 26.08.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINNT\System32\device.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINNT\System32\internat.exe
C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\mwavscan.com
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\kavss.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bodyandsoap.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [DeviceMgr] C:\WINNT\System32\device.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\mwavscan.com" /s
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2AB5AA2-D93E-4D74-98A8-CB8B7F52C036}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253

Habs hingekriegt. Hier der Hijack-Scan im abgesichertem Modus:

Logfile of HijackThis v1.98.2
Scan saved at 16:58:46, on 26.08.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bodyandsoap.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [DeviceMgr] C:\WINNT\System32\device.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\mwav\mwavscan.com" /s
O4 - HKLM\..\RunServices: [WinSystem] C:\WINNT\System32\SysDDE.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A02EC11-4390-4FF2-A3CD-FE920C48C932}: NameServer = 192.168.120.252,192.168.120.253

Wisst Ihr Rat? Der Explorer spinnt offensichtlich auch total ...
Gruß und Danke, Britta

Es war eher so gemeint, dass du im abgesicherten Modus E-Scan laufen lässt, das HJT-Log sollte besser aus dem normalen Modus sein. Tja, wie du ja im prinzip schon weisst, treiben sich auf deinem System ziemlich fiese Schädlinge herum, im letzten Log sichtbar ist für mich zunächst:

O4 - HKLM\..\RunServices: [WinSystem] C:\WINNT\System32\SysDDE.exe

Leider habe ich dazu nur diese Informationen:

http://www.vsantivirus.com/back-zombam-i.htm

aber trotz meiner nicht vorhandenen Spanischkenntnisse wage ich zu behaupten, dass dies wahrscheinlich der Grund (zumindest ein wesentlicher) für deine Probleme ist, denn wie es da steht, beeinträchtigt dieser Schädling diverse Antivirenprogramme und Firewalls. Nun ist das Problem, dass man eigentlich knallhart sagen muss, du kannst deinem System nicht mehr vertrauen, es ist kompromittiert und rein theoretisch kann jemand dort alles mögliche angestellt und hinterlassen haben, auch alle Reparaturversuche mit scheinbarem Erfolg können nicht garantieren, dass dein System wieder sauber ist. Das könnte nur eine komplette Neuinstallation und daran anschließendes Befolgen bestimmter Grundregeln, die man noch genauer ausführen kann. Hast du das denn schon mal gemacht bzw, kennst vielleicht jemand, der dich da unterstützt?

Hier wäre eine gute Einstiegslektüre zu finden:

http://www.mathematik.uni-marburg.de...ompromise.html

Wenn du trotzdem eine Reparatur versuchen willst, fixe den obigen Eintrag mit Hijackthis, starte in den abgesicherten Modus und lösche die Datei SysDDE.exe und lass E-Scan noch einmal durchlaufen. Neustart und ein neues Logfile erstellen.