AV findet TR/tinytest.dld.3 und Hijackthis schlägt Alarm
 

Wie beschrieben:

Wie kann ich die Probleme fixen, bzw. beseitigen?

Hier das Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:35:29, on 26.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Anivir\AVGUARD.EXE
D:\Programme\Anivir\AVWUPSRV.EXE
C:\WINDOWS\System32\Netlib.exe
D:\Programme\Caere\OmniPagePro90\opware32.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Anivir\AVGNT.EXE
C:\WINDOWS\System32\wf32vbs.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rpcclient.exe
D:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rasautou.exe
D:\PROGRA~1\MOZILLA\MOZILLA\MOZILLA.EXE
d:\Programme\WEBDE\SmartSurfer3.0\SmurfUpd.exe
C:\Dokumente und Einstellungen\Heikelein\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [OmniPage] d:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Anivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RNBc Test] wf32vbs.exe
O4 - HKLM\..\Run: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKLM\..\RunServices: [RNBc Test] wf32vbs.exe
O4 - HKLM\..\RunServices: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RNBc Test] wf32vbs.exe
O4 - Startup: SmartSurfer.lnk = D:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7D19FA8-915C-4EC2-9E84-312861FC54A3}: NameServer = 62.53.142.163 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Anivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Anivir\AVWUPSRV.EXE
O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe

Hijack-Auswertung zeigte mir viele Fragezeichen und 2 Böse:

> C:\WINDOWS\System32\csrs.exe

> O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab

Etwas ratlos grüßt

malte

Hi Steppenwolf

in dem du Neuaufsetzt. Hilfe zum Neuaufsetzen und anschließende Absicherung

Grund ist dein jungfreuliches System, wieso wurde das nicht mal aktualisiert. Du hast dir diese eingefangen

O4 - HKLM\..\RunServices: [RNBc Test] wf32vbs.exe ---> http://www.sophos.com/virusinfo/anal...32rbotagr.html

O4 - HKLM\..\RunServices: [ Microsoft Client/Server Runtime Server Subsystem] csrs.exe ---> http://www.trendmicro.com/vinfo/viru...ORM_AGOBOT.GEN

Zum Thema "kompromittierte Systeme":
http://www.microsoft.com/germany/tec...es/600574.mspx