Hallo Leute,

Irgend etwas stimmt nicht mit meinem Rechner. Antivir funktioniert nicht mehr. Habe das Gefühl ich kann auch nicht mehr auf die Antivir Webseite zugreifen und updates laden (Mag ich mir einbilden).

Alle Nase lang öffnet sich ein Fenster und will ein File downloaden:
b..php von w**.cansew.ca

Hier ist ein aktueller Logfile, ich hoffe ihr könnt mir hier aus der Patsche helfen.

Schon mal Dankeschön
Batto


Logfile of HijackThis v1.99.1
Scan saved at 23:07:44, on 01/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\winlog.exe
C:\Program Files\TCM\TCM Mouse Only\MouseDrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\winlog.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\ADownload\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
h**p://www.google.co.uk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program
Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [CR INSPECTOR] C:\Program Files\Generic\USB Card Reader Driver
v1.8d\CR INSPECTOR.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe
SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program
Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\TCM\TCM Mouse
Only\MouseDrv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Systems.exe] D:\KGB Spy\Systems.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_sit
e.cab?1124643474266
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit
e.cab?1124643457121
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Hallo Batto,

eine saubere Bereinigung ist IMHO kaum möglich, da durch diverse Würme Dein Antivir-Programm abgeschaltet wurde. Dadurch wurde noch mehr "nachgeladen".

Mein Rat:
http://www.trojaner-board.de/showthread.php?t=12154
dartus

Hi Dartus,

Danke für deine Antwort. Ich habe sofort formatiert und Windows neu aufgesetzt. (Hat ein wenig gedauert bis alles wieder halbwegs lief)

Meine Daten lagen alle auf der D Partition (Desktop, Eigene Daten usw). Muss ich davon ausgehen, dass auch dort Daten manipuliert worden sind?

Ich habe die Daten ersteinmal auf DVD kopiert und würde die wichtigsten Sachen gerne wieder einspielen. Ist das riskant und gibt es eine Möglichkeit diese daten vorher gründlich zu scannen.

Batto

Hallo Batto,

sofern sich auf Deiner Sicherungskopie keine ausführende Dateien befinden (z.B. "exe" usw), sollte es kein Problem sein. Zur Vorsicht mit einem Virenscanner mit aktuellen Signaturen vor der Überspielung prüfen.

dartus

Hi Dartus,

Muss noch einmal nachhaken.

Die Daten waren zum Zeitpunkt der Virusattacke auf dem Rechner. Ich hatte jedoch die Festplatte in eine C und eine D Partition geteilt. Auf der C Partition war das Betriebssystem und die Programme installiert. Alle Daten ( bis auf die Outlook pst Datei) befanden sich auf der D Partition. Mit einem Hilfsprogramm (Powertools) wurden Desktop, Eigene Daten usw dann umgelenkt.

Ich frage mich nun, ist der Virus oder was auch immer auf meinem Rechner getobt hat, so schlau und hat die Daten dort gefunden und evtl infiziert?

Inzwischen habe ich die Daten auf DVD gespeichert und lasse nun alle möglichen Virenscanner darüber laufen. Bislang sieht es so aus als ob sie clean sind.

Batto

Wo Du die Daten hast, also ob auf Partition X, Y oder Z, ist erstmal egal. Wie bereits geschrieben, sollte man ausführbaren Dateien nicht Vertrauen. Sind diese aber überlebensnotwendig, kann man, wie Du es getan hast, diese mit Virenscannern, welche eine aktuelle Signatur haben, scannen. Ein gewisses Restrisiko bleibt.