Hallo zusammen,

ich war heute auf der Seite meines Sanitärhandels,
dann kam plötzlich eine Meldung "Virus gefunden" usw.
Webseite"www.Wemashop." usw, "HTML/Crypted.Gen", ich habe dann löschen gedrückt (Fehler?):
- PC war dann tot, konnte nicht mehr runterfahren, habe ausgeschaltet
- dann ging er nicht mehr an, nur ein schwarzer Bildschirm und blinkender Cursor, habe also Windows XP neu drauf (und SP 2)
- kann jetzt leider keine SystemWiederHerstellung machen, alle SWH Punkte scheinen jetzt weg zu sein
PC läuft, aber geht beim DVD brennen nach 5 - 10 Minuten einfach aus, (Energieoption o.k.) Antivir 8 läßt sich nicht mehr updaten, findet auch kein Virus (2 Tage alte Version) und Antivir 9 läßt sich nicht installieren, die Installation bricht einfach ab.
Im Netz scheint der "HTML/Crypted.Gen" von niedriger Gefahr zu sin, und uralt. Komisch dass bei mir alles platt ist.
Auch den Threat von vor 2 Jahren habe ich gelesen; nach Board Empfehlung habe ich:
--HijackThis,
--CCleaner,
--Malwarebytes´
geladen und laufen lassen.

Der Malewarebytes läuft nur kurz an, geht sofort aus.
Ad Aware und Spybot haben auch nix gefunden
Und der Sanitärbetrieb, den ich angerufen habe, weiß daß da eine Meldung "Virus" kommt, "da ist aber keines drauf", sagt er; so und jetzt steh ich da.
Ein Bekannter hat auch auf die Seite geklickt, er bekommt die Meldung: "Trojaner, Verbindung trennen"
Darf der Sanitäre das so lassen?
Wie krieg ich meinen PC sauber?

Webseite:
h**p://www.google.de/url?sa=t&source=web&ct=res&cd=3&ved=0CBQQFjAC&url=http%3A%2F%2Fwww.wemashop.de%2F&rct=j&q=wema-shop&ei=WlEaS6zkFajGnAPT_-DOAw&usg=AFQjCNFKwzmrO3vvNW1a2vE9YCKxeSZsmg

HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:12, on 05.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\Eigene eBooks\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk.disabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .PDF: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - http://www.kfh-dialyse.de/dz_cnt/aktuelles/bg-aktuelles.gif

--
End of file - 4236 bytes

Wie geht´s weiter?

Ich habe mit eScan und find.bat was gefunden, und nun ?
Insgesamt 6 Meldungen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 11.0.45
Sprache: German
C:\DOKUME~1\marliese\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\wbem\wmitimep.dll ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\Eigene Dateien\Eigene eBooks\zone alarm update\zlsSetup_70_337_000_de.exe ist durch den Virus "Trojan.Generic.79253 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\wl.exe
Offending file found: C:\Dokumente und Einstellungen\marliese\Desktop\Internet.lnk
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{3C78B8E2-6C4D-11D1-ADE2-0000F8754B99})! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (wl.exe)! Action taken: Keine Maßnahme ergriffen.
System found infected with ezula Spyware/Adware (Internet.lnk)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (HKLM\SYSTEM\CurrentControlSet\Services\iprip)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (HKLM\SYSTEM\CurrentControlSet\Services\6to4)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\System\CurrentControlSet\Services\Iprip !!!
Offending Key found: HKLM\System\ControlSet001\Services\Iprip !!!
Offending Key found: HKLM\System\ControlSet003\Services\Iprip !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
CScript-Fehler: Der Zugriff auf Windows Script Host wurde f�r diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen.
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll in HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\Programme\AVPersonal\AVGNTDD.SYS in HKLM\SYSTEM\CurrentControlSet\Services\avgntdd. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\2.tmp in HKLM\SYSTEM\CurrentControlSet\Services\MEMSWEEP2. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\tsmpkt.sys in HKLM\SYSTEM\CurrentControlSet\Services\TSMPacket. Action Taken: No Action Taken.
ERROR(3)!!! ScanFile fails for C:\hiberfil.sys
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 www.007guard.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 007guard.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 008i.com
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 008k.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\marliese\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KOB8FTY6\mwav[1].exe!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.5.0_03\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.5.0_04\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.5.0_06\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Java\jre1.6.0_01\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\Programme\Microsoft Office\Office10\1031\HTMLREF.CHM!!!
Zeit überschritten beim Scannen von C:\Programme\Microsoft Office\Office10\1033\ACMAIN10.CHM!!!
Zeit überschritten beim Scannen von C:\Programme\Microsoft Works\WKSv7std.sbs!!!
Zeit überschritten beim Scannen von C:\Programme\Sweet Home 3D\jre6\lib\rt.jar!!!
Zeit überschritten beim Scannen von C:\WINDOWS\Driver Cache\i386\driver.cab!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene Bilder\tyler fotobuch\Thumbs.db!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\eScan\mwav.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\Install_Messenger_nous.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\lidl\LIDL_Fotoservice_Setup.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\power producer update\CyberLink.063208(3.7)_PPD060717-01.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\power producer update\PowerProducerDeluxePatch_32_1604.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\treiber\9-8_catalyst for xp.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\Eigene eBooks\treiber\catalyst 9.9.exe!!!
Zeit überschritten beim Scannen von D:\Eigene Dateien\tobias\SweetHome3D-1.8-windows.exe!!!
Zahl der gescannten Objekte: 126246
Zahl der kritischen Objekte: 6
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 01:06:44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 23:29:24,85
Batchende: 23:30:09,64

Hi,

inzwischen hat Google die Webseite als "Diese Website kann Ihren Computer beschädigen." gekennzeichnet. Hab mir's mal angeschaut es wird versucht auf Rechner die diese Webseite ansteuern über Sicherheitslücken einen Trojan-Downloader zu installieren, der dann andere Malware nach sich zieht... (Und das passiert auch im FF mit NoScript etc....)...

Die Seite muss vom Netz genommen werden...

Du musst nochmal Neuaufsetzen (folge dem Link: http://www.trojaner-board.de/51262-a...sicherung.html)...
Wichtig: Festplatte komplett formatieren und MBR neu schreiben!
Dabei gehen alle Daten verloren!

chris