Hallo zusammen,
ich brauche noch mal Hilfe:

Vergangene Woche hat sich bei mir ein Trojaner eingeschlichen der sich bemerkbar machte, indem sich meine IE-Startseite (Win XP, SP2) blitzplötzlich änderte und nimmer zurückstellen ließ. Weder Norton noch Spybot konnten ihn ausfindig machen.

Was geschah und ich unternahm:

1) Hijackthis-log erstellt und Einträge gefixed, welche die neue Startseite enthielten, siehe: http://www.trojaner-board.de/showthread.php?t=9282
Beim Neustart war sie wieder da.

2)Norton deinstalliert, XP-Firewall abgestellt, im abgesicherten Modus hochgefahren, eScan installiert, welches einen Trojaner ausfindig machen und löschen konnte, eScan am System gelassen.

3) Der PC ließ sich daraufhin im normalen Status nicht mehr booten!

4) eScan im abgesicherten Modus wieder deinstalliert, neuer Normal-Bootversuch klappt. eScan dort wieder installiert, PC geckeckt, neuer Virus gefunden und gelöscht, aber Neustarten wieder nicht möglich.

5) eScan im AM wieder deinstalliert.

6) im NM Systemwiederherstellung auf allen Laufwerken deaktiviert, IE – Sicherheitsupdate durchgeführt, in den Optionen des IE das „eeren des Ordners Temporary Internet Files beim Schließen des Browsers“aktiviert sowie Temporäre Files und Cookies mittels XP-Clean gelöscht, unter Start > Ausführen des Befehls services.msc den Dienst „Remote-Registrierung“ deaktiviert, Opera und Kaspersky installiert, Systemcheck durchgeführt, einen Virus gelöscht.

7) Im AM nochmaliger Systemcheck ohne Viruserkennung, auch nicht mit Spybot, nur tauchen plötzlich Kennwort-geschützte Ordner auf? XP-lean findet einige registries, die nur wenig bedenklich seien….Das Ändern der IE-Startseite sei nicht möglich… aber das hatte ich selbst aktiviert. Erstellen eines neuen Hijackthis-logs (siehe Anhang), der laut automatischer Auswertung OK ist!

8) ABER: Booten im NM wieder nicht möglich!

9) Aktuell: Kaspersky im AM deinstalliert um den NM wieder starten zu können, Kaspersky wieder installiert. Kein Virus gefunden, bloß wieder Kennwort-geschützte Ordner, die ich nicht löschen kann.

Weiß nimmer, was ich noch tun kann?!
Bitte um Hilfe!

Danke,
s+l

Logfile of HijackThis v1.98.2
Scan saved at 21:34:18, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\beate\LOKALE~1\Temp\Rar$EX01.226\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=80.108.252.196:3128;gopher=80.108.252.196:3128;http=80.108.252.196:3128;https=80.108.252.196:3128;socks=80.108.252.196:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 80.108.252.196;127.0.0.1;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093027137464
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab

@
obwohl dein logfile grasgrün ist, wenn ich das hier
anschaue, kann ich dir nur dringenst raten neu auf zu setzen.
Auch mehrere Antiviren-,Antitrojaner- und firewalls neben einander laufen zu lassen macht nur poblemen.
hast du seit dein letzes posting von 07.11 dein system neu aufgesetzt?

chaosman

hei chaosman,

was da unter dem link angegeben ist, ist eigtl, belanglos, denn das waren nur sicherheitsbackups von norton, die er von beginn an in einem sicheren ordner hinterlegt hatte. ich wusst nämlich anfangs nicht, dass XP dermaßen netz-unsicher ist und hatte VOR installation von norton internetzugang.... daher die ganzen virenauflistungen.

ernst zu nehmen ist das neue hijack-this-log.
nein, ich hab das system nicht neu aufgesetzt, weil ich dachte, den trojaner entfernt zu haben.

z.zt. hab ich die XP-firewall an und kaspersky installiert. allerdings darf ich letzteren nicht am system lassen, wenn ich beim nächsten boot wieder den NM starten will......

Hallo soleluna,

Dein neues Logfile ist völlig unerheblich und spielt keinerlei Rolle. Schau mal hier: 9282

Zitat:

Sun Nov 07 18:13:38 2004 => File C:\Programme\Norton AntiVirus\Quarantine\7C917726.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: No Action Taken.

Die Würmer befanden sich zwar in der Quarantäne Deines Antivirus Programms, es ist aber möglich, dass sie auf Deinem System Code und in der Registry Schlüssel hinterlassen haben. Infomation zu Backdoor.Agobot.gen-> "Erläuterung" beachten: "Der Wurm läuft kontinuierlich als Dienstprozess im Hintergrund und ermöglicht Backdoor-Zugriff auf den Computer."

Ich halte Deinen Rechner für kompromittiert und absolut unsicher. Ich kann Dir nur empfehlen, Dein System zu formatieren, Cidre's Rat zu beachten und das System neu aufzusetzen: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD