so hier das log von escan, war schon etwas ergiebiger:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\vista.dll infiziert von "Trojan.Win32.BHO.pi" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070913-094616-286.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070916-175257-484.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\user\Eigene Dateien\Bönz\hijackthis_199.zip/backups/backup-20070908-011538-488.dll infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3784d90-c137-11d9-8c47-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 31501
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 49
Dauer des Scans bisher: 00:05:38
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:36:06.59
Batchende: 16:36:12.21


auch ja seit ein paar tagen muss ich zone alarm immer beenden sonst geht gar nichts mehr..
(dann kommen etliche fehlermeldungen)

Morgen,

sieht zwar heftig aus, aber ich denke nicht,
dass man hier von einer Kompromitierung
reden kann. mach folgendes:

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\WINDOWS\system32\B.tmp
C:\Dokumente und Einstellungen\Administrator\Desktop\backups\backup-20070908-011538-488.dll
C:\Dokumente und Einstellungen\user\Desktop\backups\backup-20070913-094616-286.dll
C:\Dokumente und Einstellungen\user\Eigene Dateien\Bönz\hijackthis_199.zip/backups/backup-20070908-011538-488.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

Bitte widerhole den escan, ich glaube nicht, dass dieser
nach 5min beendet war. Führe zuvor bitte folgendes noch durch:
(aber erst nach der Avenger-Aktion)

* CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- Kopiere bitte den Cleaning-Report ab und poste ihn

mfg Cleriker

Hallo,

maßgeblich ist leider nicht dein "frisches" eScan-Logfile, sondern das ursprüngliche. Und das spricht deutlich für eine Kompromittierung deines Systems:

Zitat:

Zitat von musix

~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\B.tmp infiziert von "Backdoor.Win32.Agent.bul" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Zitat:

Zitat von musix

auch ja seit ein paar tagen muss ich zone alarm immer beenden sonst geht gar nichts mehr..
(dann kommen etliche fehlermeldungen)

Wirklich empfehlenswert ist daher nur ein Neuaufsetzen deines Systems.

ja das ist eben nicht einfach ist so ein OME winXp drauf....

aber wieso meinst du? ich dacht jetzt das ich den mit avanger weg geputzt habe?
(seit diesem zeitpunkt, spinnt auch zonealarm nicht mehr)

so habe nochmal alle eure tricks&tipps durchgeführt und dann ein escan gemacht, der sieht nun so aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3784d90-c137-11d9-8c47-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 67633
Gefundene Viren: 1
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 22
Dauer des Scans bisher: 00:50:01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 13:40:34.57
Batchende: 13:40:49.79


irgendetwas ist noch immer nicht ok
diesen reg key habe ich eigentlich gelöscht

nutzt es was wenn ich dieses escan kaufe?

Meiner Ansicht nach: nein. Was versprichst du dir davon?

E-Scan will entdeckte Schädlinge entfernen können, wenn es gekauft wird. In deinem Fall sind Schädlinge entdeckt worden, und der sichtbare Anteil des Befalls ist entfernt worden. Mehr könnte eScan auch in der kostenpflichtigen Version nicht leisten.

Das Problem liegt anderswo: Auf deinem Rechner war eine Backdoor aktiv. Sie hat dein System kompromittiert. Was das bedeutet, kannst du hier nachlesen:

Homepage von Malte J. Wetz

Ich verlinke dir das, weil Herr Wetz gut erklärt, was Kompromittierung bedeutet: Dein System ist nicht mehr vertrauenswürdig, weil nicht nachvollzogen werden kann, was an ihm manipuliert worden ist. Du kannst nicht mehr sicher sein, dass du noch Herr über deinen Rechner bist. Es muss nicht, kann aber sein, dass ein Anderer ihn kontrolliert und ihn in einem extremen Fall für kriminelle Aktionen missbraucht, die dann dir angelastet werden können. Auch solche Fälle hat es bereits gegeben.

Letztlich musst du entscheiden, ob du dieses schwer zu beziffernde Risiko tragen willst, denn es ist dein Rechner. Wenn du neu aufsetzt, bist du auf der sicheren Seite. Wenn du darauf vertraust, dass mit der Entfernung des sichtbaren Befalls dein Rechner wieder "clean" ist, bleibt ein Risiko.

Hi Leuts nach einem Päuschen,

sorry Franz, wenn ich nochmal dazwischen
funke, aber ich habe deshalb sein System
NICHT als kompromitiert angesehen, weil
der besagte Wurm zwar im escan-Virenscanner
das Wort "Bagdoor" enthält, jedoch die
Sophos-Bedrohungsanalyse folgendes sagt:

Zitat:

W32/Alcra-B verbreitet sich über den Dateiaustausch auf P2P-Netzwerken.
W32/Alcra-B enthält Funktionalität zum Herunterladen, Installieren und Starten neuer Malware.

Weiterhin sind die meißten Einträge gar nicht weiter
zu finden auf seinem Rechner. Deshalb plediere ich
auf eine weitere Bereinigung. Berichtige mich, wenn
ich falsch liege.

mfg Cleriker

Cleriker, vielleicht sehe ich es nur nicht. Wie kommst du auf Alcra.B?