Virus eingefangen wie werde ich ihn los?
 

Hallo zusammen,
auf einem zweiten Rechner habe ich mir aufgrund nicht aktueller Virenscanner was eingefangen. Trend Micro PC-cillin Internet Security 12 hat folgendes erkannt, aber kann die Dateien nicht in die Quarantäne schicken. Die Erkennung erfolgte auch erst nach dem verspäteten update.

TROJ SMALL.BDU
TROJ SMALL.AZM

Die unter anderen in folgender Datei hängen: .....Win/System32/OLEEXT.dll

Diese kann ich aber nicht einfach löschen!

Wie werde ich diesen Kram wieder los.
Anbei auch das Logfile von Highjack. Ich hoffe komplett und mit gelöschten pers. Daten:

Vielen Dank schonmal für eure Hilfe!

Gruesse
Stephan

Logfile of HijackThis v1.99.1
Scan saved at 20:52:38, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Trend Micro\Internet Security 12\pccguide.exe
C:\DOKUME~1\*****~1\LOKALE~1\Temp\E.tmp.exe
C:\DOKUME~1\****~1\LOKALE~1\Temp\F.tmp.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\ZyDAS\ZD1211 802.11g Utility\ZDWlan.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\crgh32.exe
C:\WINDOWS\system32\crcw32.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oqkqh.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oqkqh.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oqkqh.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oqkqh.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oqkqh.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oqkqh.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oqkqh.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {A3C5C0CE-5122-E73A-AB92-E8EE67589A00} - C:\WINDOWS\system32\sysrq.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [E.tmp] C:\DOKUME~1\****~1\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [F.tmp] C:\DOKUME~1\****~1\LOKALE~1\Temp\F.tmp.exe
O4 - HKLM\..\Run: [E.tmp.exe] C:\DOKUME~1\****~1\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [F.tmp.exe] C:\DOKUME~1\****~1\LOKALE~1\Temp\F.tmp.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [crcw32.exe] C:\WINDOWS\system32\crcw32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: ZDWlan.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfcxw.exe (file missing)
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

hallo,

hast recht da gibt es einiges was da nicht hingehört.
arbeite bitte Diese anleitung genau punkt für punkt ab.
lass dir zeit dabei und poste zum schluss das ergebniss der find.bat hier.
mal sehen was da noch so alles drauf rum schwirrt.

Hallo hoerni26,
habe eScan im abgesicherten Modus eingesetzt und folgende Einträge gefunden:

Sat Jan 07 19:39:24 2006 => File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Sat Jan 07 19:39:25 2006 => File C:\WINDOWS\system32\OLEEXT.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sat Jan 07 19:39:49 2006 => System found infected with cws.homesearch Browser Hijacker ({676575dd-4d46-911d-8037-9b10d6ee8bb5})! Action taken: No Action Taken.
Sat Jan 07 19:39:56 2006 => System found infected with whenu.sidefinder Spyware/Adware (search.html)! Action taken: No Action Taken.
Sat Jan 07 19:39:56 2006 => System found infected with whenu.sidefinder Spyware/Adware (search.html)! Action taken: No Action Taken.
Sat Jan 07 19:39:57 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.
Sat Jan 07 19:39:57 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.
Sat Jan 07 19:41:44 2006 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sat Jan 07 19:42:23 2006 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Sat Jan 07 19:45:36 2006 => Scanning File C:\Dokumente und Einstellungen\****\Desktop\infected.txt [**]
Sat Jan 07 19:46:53 2006 => Scanning File C:\Dokumente und Einstellungen\****\Recent\infected.lnk
Sat Jan 07 20:21:35 2006 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Sat Jan 07 20:22:43 2006 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Sat Jan 07 20:23:08 2006 => Total Disinfected Objects: 0

Kann man noch etwas machen, oder soll ich gleich ein neues System aufsetzen?

Danke und Gruesse

Hallo d035274,

downloade Dir
CWShredder (stand-alone-Version)
clearprog 1.4.1 final.

Führe dies aus:
http://www.trojaner-board.de/showthread.php?t=21709

Starte im abgeicherten Modus "CWShredder" (alle Funde löschen), ebenfalls "Clearprog" (Häckchen bei "Alles Löschen" und aus "Löschen" klicken).

Poste anschl. die entspr. Logfiles (smitrem, Hijackthis).

dartus