Erstmal ein Hallo an das ganze Forum!

Ich bin nicht mehr am Verzweifeln, sondern bin schon verzweifelt, aber ich dachte ich frag erst nochmal hier nach, bevor ich was unüberlegtes tue.
Zu meinem Problem: Ich hab vor 2 Wochen plötzlich einen Virus auf meinen PC bekommen und es hat den Anschein, als wäre dieser immer noch aktiv. Dieser Virus kam immer mit einer Nachricht, dass ich einen Virenscanner über den PC laufen lassen sollte. In der Überschrift der Fehleranzeige stand "Malicious Spyware Removal Tool" oder so ähnlich. Nun ich hab einen Virenscan machen lassen (mit AVG Antivirus) und dieser fand ziemlich viele Viren, woraufhin ich erst ein paar mal Windows neu aufgesetzt habe und am Ende auch mal die Systempartition formatiert habe. Nach der Neuinstallation von Windows XP Home Edition sah erstmal alles gut aus, bis ich die setup.exe von gewissen Programmen liefen ließ, d.h. bis ich diese Programme installiert habe, die ich vorher auf meiner 2.Partition gespeichert hatte, um Zeit zu sparen. Nach einem Neustart kam ich auf einmal auf eine Anmeldefläche, die ich vorher noch nie gesehen hab bei mir auf dem PC. Ich bekam die Nachricht, dass es eine Datenausführungsverhinderung bei der Windows-Anmeldeanwendung gab. Danach kam die grünen Hügel des Windows-Standard-Desktophintergrunds und nichts mehr. Ich kann jetzt Windows über den Taskmanager mit explorer.exe starten, aber jetzt habe ich diese komischen .exe Dateien mit den Zahlen auf meiner Systempartition. Ich hab auch schon gewisse Virenscanner wie avast, AntiVir, AVG u.ä. und Malware & Spyware-Scanner wie Spybot Search&Destroy und Malwarebytes AntiMalware drüberscannen lassen und habe die gefundenen Viren oder Trojaner entfernt und danach wieder formatiert, aber immer wieder dasselbe Theater.
Nun will ich wissen: Muss ich meine gesamte Festplatte mal formatieren? Wenn ja, was kann ich auf eine externe Festplatte übertragen (Bilder, Dokumente, Videos, MP3s, Setup-Dateien,...)? Oder gibt es eine Lösung, bei der ich nicht extra eine externe Festplatte kaufen muss?

Hier noch mein Hijackthis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:56:45, on 19.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wmdtc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\lsm32.sys
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=14978&l=dis
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CE4FFF8-660A-4DBC-97B2-60F1F1E4BC99}: NameServer = 195.50.140.248 195.50.140.114
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe

--
End of file - 5005 bytes


Schon jetzt tausend Dank für jede Hilfe!

LG, freiburg

Guten Abend freiburg,

hab mal so im Drüberschaun gleich 2 Trojaner gefunden.

C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\system32\lsm32.sys

Außerdem hast du die Ask Toolbar installiert.

Das neuste XP SP fehlt, außerdem der neuste internet Explorer.

Guten Abend Metallica,

ich hab auch XP SP 3 installiert und Internet Explorer benutze ich normalerweise nicht. Hat niemadn sonst eine Lösung ?

LG, freiburg

Hey freiburg,

Du kannst wichtige Daten auf USB-Stick, CD/DVD, Speicherkarten oder auch einer Externer Festplatte speichern und dann das komplette System plattmachen.
Jedoch solltest du die Daten vor Wiederaufspielen mit einem/mehreren Virenscannern von einem sauberen System aus überprüfen lassen, sodass sich die Schädlinge nicht wieder verbreiten können.

Liste von Online-Virenscannern

Dateien, die dir völlig unbekannt sind, kannt du auch mal bei www.virustotal.com hochladen und dort überprüfen lassen

Tag,freiburg
Dein rechner ist mit VIRUT infiziert
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe

Virut-Infektion

Virut ist ein polymorpher Datei-Infector und infiziert EXE-Dateien, alle EXE-Dateien, die zugänglich sind, also auch auf anderen Partitionen und Laufwerken. Virut ist in der Lage, sich nach jedem Aufruf zu ändern und Virut kann Malware nachladen. Dementsprechend ist Virut in den üblichen Logfiles wie HijackThis nicht zu erkennen, da die Dateinamen und Verzeichnisse dadurch nicht beeinflusst werden. Wenn Virut vorhanden ist, nachdem Du eine Sicherung Deines Systems aus einem Image zurückgespielt hast, dann steckt Virut vermutlich schon in diesem Image. Dieses Image/Backup ist damit wertlos. Eventuell war es auch eine EXE-Datei auf einem anderen Laufwerk.

Die letzte Zeit tritt Virut deutlich häufiger auf, außerdem enthält Virut eine Backdoor, über die das System ferngesteuert werden kann. Lese daher unbedingt auch folgende Backdoor-Warnung aufmerksam durch. Du kannst eigentlich nur probieren, ob Dein Virenscanner die infizierten Dateien reparieren kann. Nach den bisherigen Erfahrungen sieht es damit aber schlecht aus, Virut überschreibt je nach Version einen Teil der Dateien bei der Infektion, so dass nicht mehr bekannt ist, was dort vorher stand und demzufolge die Datei auch nicht repariert werden kann. Beste Lösung ist, alles zu löschen und Dein System neu zu installieren.

Reine Daten, wie JPG, GIF, DOC, XLS, MP3, WMF, usw. kannst Du sichern, aber alles, was ausführbar ist, insbesondere exe/.scr/.htm/.html/.xml/.zip/.rar müssen weg. Dabei auch Wechsellaufwerke beachten, die nur zeitweise am PC angeschlossen sind, eventuelle Freigaben mit Schreibrechten auf anderen PCs im Netzwerk, gebrannte CDs und DVDs.

Wenn nur eine eine einzige mit Virut infizierte EXE-Datei übersehen wird und gestartet wird, war die ganze Mühe vergebens.


(ausm HJT-Forum)

Hey Metallica und Argus,

danke euch für eure Antworten. Dann werd ich wohl morgen eine externe Festplatte kaufen und Bilder, Musik, Videos etc. draufladen und alle Partitionen formatieren. Aber super, dass ich wenigstens die Familienalben der letzten 3 Jahre retten kann.

Tausend Dank für eure Mühe!

LG, freiburg