Hallo Leute!

Ich benötige einmal eure Hilfe. Habe bei meinem Kollegen DSL installiert und bin dabei auf einen Virus auf seinem PC gestossen.
Es läßt sich kein Virusprogramm installieren, Norton läßt sich nicht starten, sogar Internetseiten mit den Begriffen Virus oder Trojaner schliessen sich einfach. E-Scan ging zu installen, aber beim Scannen wird die Anwendung einfach geschlossen. Könnte sich einer mal bitte das Logfile ansehen und Tips geben!? Ich weiß, daß viel unnötiges Zeug installiert ist bei Ihm, aber vorm Aufräumen wollte ich erstmal den Virus killen ;-)

Big THX im voraus! :aplaus:


Logfile of HijackThis v1.99.1
Scan saved at 16:54:35, on 11.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\winsys.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\E_S00RP2.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\eScan\ESCANIPC.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe winsys.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,winsys.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KL726F~1\IEBUTT~2.DLL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~4\KTTOOL~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~4\KTTOOL~1.DLL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [ESCANIPC] C:\PROGRA~1\eScan\ESCANIPC.EXE
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [Windows Kernel System Service] winsys.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo 915] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_SD3.tmp"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [Windows Kernel System Service] winsys.exe
O4 - Startup: klickTel Herbst 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel Herbst 2005\KSTART32.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CS2\Services\Tcpip\..\{4FF20736-705E-413B-9A4A-48556F3670CD}: NameServer = 212.185.249.180 194.25.2.129
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Hallo,

das System ist kompromittiert, eine Bereinigung daher UNMÖGLICH!

siehe hier:

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe winsys.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,winsys.e xe
O4 - HKLM\..\RunServices: [Windows Kernel System Service] winsys.exe

Dabei könnte es sich sowohl um diesen, als auch diesen handeln.

Daher ist nur eine Neuinstallation sinnvoll -> siehe Link "Neuaufsetzen des Systems"

(der Wurm macht sich Beispielsweise bemerkbar das du keinen AV-Scanner installieren kannst )

Gruß
Sunny

Oh man! Hilft da wirklich nur Neuinstallation? Gibt es da keinen anderen Weg? Mit Removal-Tools? Bin für jede Hilfe dankbar!

Hallo,
den ersten Bock hast du schon hier geschossen...

Zitat:

C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

das steht extra anders in der Anleitung....

Zitat:

Gibt es da keinen anderen Weg? Mit Removal-Tools?

Überlege !
Wie denn, wenn dich der Wurm keines dieser Tools installieren läßt ?
Sorry,du hast leider verloren und kannst dich nur ehrenvoll aus der Affäre ziehen, in dem du neuinstallierst...
Irrlicht

@ Irrlicht

Welchen "Bock" meinst du denn?
Meinst du das ich den Benutzernamen nicht unkennbar gemacht habe? Dachte bei dem Benutzernamen kann keiner was erkennen :-)
Oder wegen dem Verzeichnis? Habe HJT von einem USB-Speichermedium gestartet.

Habe vorher schon einmal diese Removal-Tools von Symantec ausprobiert. Diese die gleich scannen ohne Installation. 3 davon bekam ich zum Laufen. Werd nochmal ein paar davon durchlaufen lassen (musste diese aber mit nem anderen PC runter ziehn). Ansonsten fix sichern und dann Neuinstallen das System.

Trotzdem danke für die Hilfe :aplaus: