Hallo Ihr Profis ,

Ich glaube ich brauche Eure Hilfe, ich komme einfach nicht mehr zurecht mit meinem System. Seid einiger Zeit meldet mir mein Norton ab und zu einen Download.Trojan Virus, der aber immer automatisch gelöscht wird.

Dann fing es an, dass mein Internet nur kurzzeitig ging und auf einmal nicht mehr. Erst nach einem Neustart geht es wieder für eine weile. Wenn ich die Firewall (Zone Labs) anhabe, dann geht das Internet nomalerweise. Jetzt hat mein Virenscanner auch einen Virus namens: W32.Kargo.S entdeckt, der aber immer gelöscht wird, aber trotzdem ab und zu auftaucht.

Es wäre echt super klasse, wenn mir einer helfen könnte: Anbei mein HijackThis Log:


Logfile of HijackThis v1.98.2
Scan saved at 15:49:41, on 01.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NSW\Norton AntiVirus\navapsvc.exe
C:\Programme\NSW\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NSW\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Bases\mwavscan.com
C:\Bases\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Archiv\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\NSW\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\NSW\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099169814078


Vielen, vielen Dank, es wäre klasse, wenn mir einer helfen könnte :/

Was denkt ihr ist die Beste vorgehensweise um mein System clean zu bekommen und es dann vor allem auch clean zu behalten

Beste Grüße,
Robert

Hallo defiant,

lade Dir bitte den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Hallo Shadowdance,

Vielen Dank erstmal für Deine Hilfe.

Ich habs natürlich gleich vergaggt Ich habe im abgesicherten Modus den escan gefahren und er hat auch ein paar Viren, bzw. Würmer gefunden. Ich habe extra die Version 4.1.9. geholt (natürlich mit aktueller Definition) und die Viren alle löschen lassen. Nur habe ich dummerweise vergessen den Log zu speichern.

Ich hatte aber einige Viren, darunter den W32.Kargo.S, einige Download.Trojan Viren und einige ClLib.... oder so. Die wurden aber ALLE von escan entfernt, ich habe auch den Quarantine Ordner von Norton gelöscht und alle temporären Dateien.

Ich habe dann nochmal neugestartet und den escan nochmal im abgesicherten Modus laufen lassen. Dort wurde dann nichts mehr entdeckt (Nur etwas von MIRC, was aber nicht als Virus definiert war).

Ist mein PC jetzt ok? Was kann ich machen, um in Zukunft vor sowas geschützt zu sein. Keinen Inet-Explorer mehr? Aber welcher Browser ist am besten? Ich benutze jetzt Zone Alarm UND die Windows Firewall von SP2...reicht das zusammen mit Norton aus?

Sorry, ich bombadier Dich gleich mit Fragen Aber vieleeen Dank schonmal.

Letzte Frage: Wie ist das mit meinemn Hijack-Log...ist das soweit ok?

Vielen dank nochmal, ich erwarte schon gespannt Deine Antwort

Robert

hallo.

Starte im abgesicherten Modus (Neustart - F8 drücken, bevor das Windows-Logo erscheint) und deaktiviere die Systemwiederherstellung (Arbeitsplatz - rechte Maustaste, Systemwiederherstellung, Häkchen rein).

fixe folgenden eintrag:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

ich würde den mozilla firefox empfehlen, den gibt es hier:

Mozilla Firefox

dazu gibt es viele mehr oder weniger nützliche plug ins, z.b. mouse-gesten, suchleisten, wetteranzeige, prefbar (da kann man schnell java deaktivieren),...

und zwei firewalls würde ich nicht nehmen - die können sich gegenseitig behindern. wenn, dann zonealarm. ich persönlich halte inzwischen auch nicht mehr so viel von norton, es ist ok, aber es gibt bessere virenprogramme, z.b. kaspersky, mcafee oder f-secure.