Total die Seuche, eh!
 

Hallo Leute,
ich bin neu hier - und voll begeistet vom User helfen User Konzept :)
Ich sitze gerade vom Notebook meiner Schwester. Ich weiss ja nicht was die gemacht hat, aber scheinbar wollte sie einen Rekord in Trojanerhaben aufstellen. Ich habe gerade eScan am laufen und dort habe ich schon 60 Viren gefunden - bin aber noch nicht fertig.
Hier ist schon mal der HijackLog, wäre schön wenn Ihr mir weiterhelfen könnt:

Logfile of HijackThis v1.98.2
Scan saved at 13:38:18, on 01.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\WINDOWS\ngsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\antivirus\Security Task Manager\taskman.exe
C:\DOKUME~1\Maike\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Maike\LOKALE~1\Temp\kavss.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\antivirus\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Programme/TOSHIBA/Free%20Update%20Service/splash.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\Run: [Windows Messenger] msmsgs.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [MSNMSGR5] MSNMSGR5.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [MSN Messanger] MSN.exe
O4 - HKLM\..\RunOnce: [USB Device] win32usb.exe
O4 - HKLM\..\RunOnce: [Windows Messenger] msmsgs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O4 - HKCU\..\Run: [Windows Messenger] msmsgs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [MSN Messanger] MSN.exe
O4 - HKCU\..\RunOnce: [USB Device] win32usb.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...093ed0f53d7740
O17 - HKLM\System\CCS\Services\Tcpip\..\{29644FF3-62E3-4597-B5CB-19B5E7252CAE}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{93483DE2-D6B2-4D33-9B48-E6E7C70DF6F9}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D67C98-0988-4188-970D-20A6189B5511}: NameServer = 192.168.121.252,192.168.121.253

Diese Zeilen kommen mir spanisch vor:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Programme/TOSHIBA/Free%20Update%20Service/splash.html
O4 - HKLM\..\Run: [REEGRUN] C:\index.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html

Wie seht ihr die Lage?

Kann ich denn wenigstens was machen, dass erst mal alle offensichtlichen Viren & Co drausen sind?
Ich werde meiner Schwester dann sagen, dass Sie das System neu aufsetzen muss; wollte aber erst mal so weit es geht das System clean machen.

http://www.trojaner-board.de/42731-escan-anleitung.html

Wie beschrieben updaten und im abgesicherten Modus durchlaufen lassen. Die Empfehlung der Neuinstallation bleibt aber, bereits einer der bei dir gefundenen Schädlinge genügt zur Kompromittierung und das ist eine ganz schöne Sammlung. :) Deine Schwester sollte unbedingt auch die von Cidre bereits geposteten weiterfolgenden Links lesen und umsetzen für die Zukunft.

Vielen Dank!
Ich werd dann mal das ganze noch im abgesicherten Modus laufen lassen.
Evtl. lass ich dann meine Schwester noch mal den HijackLog posten.