Hi Leutz,

ich hab ein riesen Problem mit so nem scheiß Trojaner der immer wieder kommt sobald ich mich ins Netz einwähle.
Das Teil heißt (laut AntiVir) TR/DNet.Drop und wird in folgendem Verzeichnis gefunden: C:\SYSTEM VOLUME INFORMATION\_RESTORE{90EF2C09-F4E2-4F18-BEDA-2FB1869D4219}\RP2\A0001176.EXE
Kann mir jemand helfen??

Hallo,

das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Deaktiviere die Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html , wechsle in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und scanne mit eScan (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken), danach Neustart und die Systemwiederherstellung wieder aktivieren.

Erstelle mit HiJackThis ein Log-File und poste es hier rein, sowie die Virus Log Information des eScan.

Hi,

also hier jetzt die 2 Logfiles die erstellt wurden:

eScan:
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\System32\Rundll.exe.tcf infected by "Backdoor.LittleWitch.61.y" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Manu\Desktop\Olympus Camedia Suite Pro\Media Suite\PhotoGenetics_Plug-In_Pro.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Manu\Desktop\Olympus Camedia Suite Pro\Media Suite\ServicePack1\MediaSuiteProSP1.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Manu\Desktop\Olympus Camedia Suite Pro\Media Suite\Setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Manu\Desktop\Olympus Camedia Suite Pro\Media Suite\Update 1.5\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Manu\Eigene Dateien\DSL Downloads\Die Sims\sims-tr.exe tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File C:\Dokumente und Einstellungen\Manu\Eigene Dateien\DSL Downloads\DivXPro511Adware.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Manu\Eigene Dateien\DSL Downloads\netpumper-1.20-setup.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Manu\Eigene Dateien\DSL Downloads\s2k.serials2k7.1.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Dokumente und Einstellungen\Manu\Eigene Dateien\Unwichtiges\XP Cracks\Microsoft Product Activation Crack All Products Office 11 Windows Xp 2003 Longhorn Pro Professional Home Server Enterprise(1).zip infected by "TrojanDropper.Win32.DNet.a" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Manu\Eigene Dateien\Unwichtiges\XP Cracks\Windows Xp Service Pack 1 Crack (Works! Please Share!!) By T.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Manu\Eigene Dateien\Versch. Programme,Cracks\areyouexp.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5R416AAH\old[1].html infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Manu\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5R416AAH\t-7268[1].html infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\A0001176.EXE.VIR infected by "TrojanDropper.Win32.DNet.a" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\A0023149.EXE.VIR infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\Rundll.VIR infected by "Backdoor.LittleWitch.61.y" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\Rundll.VIR00 infected by "Backdoor.LittleWitch.61.y" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\Rundll.VIR01 infected by "Backdoor.LittleWitch.61.y" Virus. Action Taken: File Renamed.
File C:\Programme\AVPersonal\INFECTED\S2K.UPDATE.EXE.001 tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\S2K.UPDATE.EXE.002 tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\S2K.UPDATE.EXE.003 tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\S2K.UPDATE.EXE.004 tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\S2K.UPDATE.EXE.005 tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\S2K.UPDATE.EXE.VIR tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\U4X6LESN.EXE.VIR infected by "TrojanDropper.Win32.DNet.a" Virus. Action Taken: File Deleted.
File C:\Programme\AVPersonal\INFECTED\XPTFF.EXE.VIR infected by "TrojanDropper.Win32.DNet.a" Virus. Action Taken: File Deleted.
File C:\Programme\ClockSync\Sync.exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.
File C:\Programme\eMule\Incoming\Programme\Emule Credit Tools - Manipulate And Fake The Credits- Crack The Friendlist - Relase The Uploads - For Max Download.rar infected by "TrojanDropper.Win32.VB.r" Virus. Action Taken: File Deleted.
File C:\Programme\eMule\Incoming\Programme\emule DSL Speed Tool und beste Saug einstellungen ( saugen bis der Arzt kommt !!!).rar infected by "not-a-virus:AdvWare.NavExcel" Virus. Action Taken: File Deleted.
File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
File C:\Programme\WeatherCast\Weather.exe infected by "not-a-virus:AdvWare.SaveNow.h" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-1645522239-606747145-725345543-500\Dc1.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File D:\Mp3\G\Grabber\agsetup18.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Mp3\kmd160_en.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
File D:\Mp3\kmd171gu_en.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
File E:\Eigene\Emule Downloads\Crack no CD Age of Empires 2 The Conquerors Expansion(1).zip tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File E:\Eigene\Emule Downloads\Crack No CD Age Of Empires 2 The Conquerors Expansion.zip tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File E:\Eigene\Emule Downloads\Microsoft Product Activation Crack All Products Office 11 Windows Xp 2003 Longhorn Pro Professional Home Server Enterprise(1).zip infected by "TrojanDropper.Win32.DNet.a" Virus. Action Taken: File Deleted.
File E:\Eigene\Emule Downloads\Windows Xp Service Pack 1 Crack (Works! Please Share!!) By T.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\eMule Downloads\Crack no CD Age of Empires 2 The Conquerors Expansion(1).zip tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File E:\eMule Downloads\Crack No CD Age Of Empires 2 The Conquerors Expansion.zip tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken.
File E:\eMule Downloads\Windows Xp Service Pack 1 Crack (Works! Please Share!!) By T.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

HiJack:

Logfile of HijackThis v1.98.2
Scan saved at 13:04:09, on 12.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MaseratiWallPaper\MaseratiWP.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Manu\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O4 - HKCU\..\Run: [WeatherCast] C:\Programme\WeatherCast\Weather.exe /q
O4 - HKCU\..\Run: [MaseratiWallPaper] C:\Programme\MaseratiWallPaper\MaseratiWP.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2458fda4...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094234546020
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D0F46BF-A1DC-434C-A7C8-110E8EC5A94A}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F49B2BA-B7EA-4C9E-B394-7F42DA28B481}: NameServer = 192.168.122.252,192.168.122.253


Ich hoffe das die Log's halbwegs nützlich sind!

Bei dieser massiven Durchseuchung, würde ich dir ein Neuaufsetzen deines Systems an Herz legen. Das ist die einzig sichere Lösung um wieder einen vertrauenswürdigen Zustand herzustellen.
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Also ich hab das System jetzt komplett neu gemacht. Aber ich weiß mir nicht mehr zu helfen, ich habe mich nachdem ich alle erdenklichen Windowsupdates
gemacht hatte ins Internet eingewählt und jetzt 5oder 6 Viren und Trojaner auf meinem Rechner! Einer nennt sich index.exe der andere MSNMSGR5.exe der nächste exename.exe usw.
Ich wieß echt nicht mehr was ich machen soll! Mein Computer hängt nurnoch und die Internetverbindung ist ständig ausgelastet!

Zitat:

ins Internet eingewählt und jetzt 5oder 6 Viren und Trojaner auf meinem Rechner!

Dann hast du meine Anleitung nicht Punkt für Punkt abgearbeitet!

Überprüfe diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis, sowie ein neues HJT Log-File:
ndex.exe
MSNMSGR5.exe
exename.exe