Need Help! Wurm, Wuermer und Viren
 

Guten Morgen!
Mein PC ist die absolut lahme ente geworden, obwohl ich ihn gestern fo´rmatiert habe.
ich stelle euch jetzt mal ein logfile rein, dass direkt nach dem systemstart gemacht wurde, als ich noch nicht im inet war, in diesem status laeuft er auch einwandfrei:

Logfile of HijackThis v1.98.2
Scan saved at 11:27:35, on 03.12.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Petra1\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Mirate Sp 2 Information] miratesp2.exe
O4 - HKLM\..\Run: [Compliant] Compliant.exe
O4 - HKLM\..\Run: [Microsoft Lmhosting Service] lmhosts.exe
O4 - HKLM\..\Run: [Start Upping] poon.exe
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [Mirate Sp 2 Information] miratesp2.exe
O4 - HKLM\..\RunServices: [Compliant] Compliant.exe
O4 - HKLM\..\RunServices: [Microsoft Lmhosting Service] lmhosts.exe
O4 - HKLM\..\RunServices: [Start Upping] poon.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Lmhosting Service] lmhosts.exe
O4 - HKCU\..\Run: [Start Upping] poon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

die als boese erkannten dateien finde ich einfach nicht, um sie zu entfernen.

weiterhin wollte ich jetzt noch ein logfile posten, das ich jetzt gemacht habe, waehrend ich im internet bin, da er dann erst richtig lahmt.
aber irgendwie startet hijackthis nicht.
hoffe o.g. infos helfen euch vorerst erstmal weiter!

vielen dank.
rob

Na, wenn der Rechner noch nicht im Internet war, dann hast du irgendwelche infizierte Dateien gleich auf deinen PC geschmissen.


Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Möcht mal wissen, was da alles drauf ist.


Danach solltest du wie folgt vorgehen:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten


Überlege jedoch, welche Dateien die Schädlichen sein könnten.

So.
Ich habe jetzt den Rechner wieder "faehig" gemacht, indem ich den gesamten infizierten Dateien per ZoneAlarm keinen Zugang erlaube!

Jetzt moechte ich nur noch die Infected Dateien loeschen und entfernen, sie tun im moment nichts, ausser das sie auf der festplatte existieren.

folgende dateien sind es (log von eScan):
File C:\WINNT\System32\miratesp2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\miratesp2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\miratesp2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\civsc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\IEEXPLORE.exe infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\IExplore32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\lsass135c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\lssas.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\manager32c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\miratesp2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\MSlti16.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\msnmsgr.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP1168 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP1532 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP2716 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP2856 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP3508 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP3516 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP3864 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP3876 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4068 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4136 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4140 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4144 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4260 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4512 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4900 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP4984 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP756 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\TFTP956 infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\USBhardware32c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\Win32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\WinGamed.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\Winregs32cdn.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Petra1\Desktop\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\DEFRAGFAT32PI.EXE.VIR infected by "Backdoor.Win32.PoeBot.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\IEEXPLORE.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\QKLJD.EXE.VIR infected by "Backdoor.Win32.PoeBot.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP1132.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP2716.VIR infected by "Win32.Parite.b" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP3336.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\TFTP3516.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\XEATZLWYT.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\civsc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\IExplore32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\lsass135c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\lssas.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\manager32c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\miratesp2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\MSlti16.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\msnmsgr.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\TFTP2856 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\TFTP3876 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\TFTP4900 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\USBhardware32c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Win32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\WinGamed.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Winregs32cdn.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\civsc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\IExplore32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\lsass135c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\lssas.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\manager32c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\miratesp2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\MSlti16.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\msnmsgr.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\poon.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\SP2.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\TFTP2856 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\TFTP3876 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\TFTP4900 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\USBhardware32c.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Win32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\WinGamed.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\Winregs32cdn.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

so.
frage: wie kann ich win32.rbot.gen entfernen ohne zu formatieren?! ich hab schon dreimal formatiert und letztlich keinen bock mehr auf diese formatierkacke vor allem *g* weil es jetzt mittlerweile alles laeuft, abgesehen von der existenz der wuermer...

please help me! :/

rob

achso:
escan hat sehr viel gefunden und waere anscheinend auch in der lage all das zu entfernen, aber angeblich nur in der gekauften full version :/
welches scanprogramm ausser antivir findet denn viel und entfernt dann auch?!

abgesehen davon: die dateien die infiziert sind (poon.exe, lmhosts.exe, etc.) finde ich nicht, wie als wuerden sie nicht existieren auf der festplatte!
grmpf

Na wenn du das mit ZoneAlarm gemacht hast, dann dürfte ja alles ok sein :headbang: (nur um es deutlich zu machen, der Satz ist nicht ernst gemeint)
gar nicht
bei einem so verseuchten System kann dir kein AV der Welt mehr helfen!
Die sind schon da, nur eben versteckt. Aber nochmal zur Verdeutlichung: löschen bringt nichts!!!
=> formatieren, aber richtig

Ich habe jetzt den Rechner wieder "faehig" gemacht, indem ich den gesamten infizierten Dateien per ZoneAlarm keinen Zugang erlaube!

Ich fass es nicht, aber heute ist sowieso nicht mein Tag, denn ich habe schon eine Verwarnung.
Charlie

Wahnsinn ... vielleicht wird jetzt bei dir jeder Tastenanschlag aufgezeichnet ... dein PC als Server von illegalen Sachen verwendet (z. B. Kinderpornographie) usw. ....

Und was machst du Hans-Wurscht ... verbietest den Zugriff ....


Formatiere deinen PC ... und zwar schnellstens ...


@charlie
Verwarnung?
Hier im Board? Normalerweise bist doch du der, der immer die armen Schüler verwarnt