Trojaner-Board - AntiVir meldet Francette.l

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AntiVir meldet Francette.l (https://www.trojaner-board.de/10094-antivir-meldet-francette-l.html)

AntiVir meldet Francette.l

Hallo, ich bin das 1. Mal hier, und hoffe, dass ihr mir helfen könnt.
Antivir meldet ständig den Wurm Francette und mein PC läßt sich nicht mehr runter fahren. Was soll ich tun?

Logfile of HijackThis v1.98.2
Scan saved at 15:04:26, on 26.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\SndMon32.exe
C:\ATI-CPanel\atiptaxx.exe
E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
E:\Mamas downloads\unzipped\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [MSN Messanger] REM MSN.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\RunServices: [MSN Messanger] MSN.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSN Messanger] REM MSN.exe
O4 - HKCU\..\Run: [AutoStart-Manager] REM C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5DE4A1B-0FDB-4E4C-B845-49D58B32B33D}: NameServer = 192.168.120.252,192.168.120.253

Gruß Claire

Hallo Claire,
scanne deinen PC bitte mal mit eScan im abgesicherten Modus und poste was gefunden wurde.
Stell dich aber bitte schonmal darauf ein, da bei dir höchstwahrscheinlich einige Backdoors aktiv sind.

=> http://www.sophos.de/virusinfo/analyses/w32rbotpj.html
=> http://www.sophos.de/virusinfo/analy...2forbotbu.html

Hallo Haui45,

tut mir Leid, dass es so lange gedauert hat.
escan hat bei mir im abgesicherten Modus 9 Viren (im Normalmodus 11) festgestellt:" Backdoor:Win32 Wootbot.gen" in Windows/Sytem32/ SndMon.exe und "Backdoor:Win32 Wootbot.u" in guardpc.exe. Knn/muß ich diese beiden im abesicherten Modus erstmal so löschen? Ich möchte nicht noch mehr kaputt machen, geht wahrscheinlich eh nicht mehr

Gruß
Claire

Da hilft (imo) leider nur formatieren.
Auszug aus dem Sophos Virenlexikon:
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
=> http://www.sophos.de/virusinfo/analy...2forbotcu.html

Scheibenkleister!!!
Habe sonst immer Zonelabs und Antivir aktiviert und nur nach einer Neuinstallation kurz vergessen wieder zu aktivieren.
Soll ich die beiden Dateien trotzdem erstmal löschen, bis mir jemand helfen kann?

Zitat:

Zitat von Claire

Antivir ist wohl überfordert ich habe Ihn gelöscht und bitdefender 8 Professionell installiert der findet garantiert den Virus

Zitat:

Habe sonst immer Zonelabs und Antivir aktiviert und nur nach einer Neuinstallation kurz vergessen wieder zu aktivieren.

Damit wird das wenig zu tun haben.
Viel wichtiger: Windowsupdate durchführen, Surfverhalten überdenken und unnötige Dienste abschalten.
http://www.mathematik.uni-marburg.de...ompromise.html
http://www.dingens.org/

hallo

ich habe den virus Francette L und Francette N drauf!

Wer kann mir helfen???

@Baeckermaus
eröffne einen neuen Thread und poste da ein HijackThis Logfile mittels copy&paste.
mfg Haui