Hilflos gegen Trojaner-Angriff, was nun????
 

Hallo,

ich habe heute für nur zwei Minuten meine Firewall unten gehabt und schon ist es passiert. Meine AntiVir hat mir gleich mehrere Warnungen ausgespuckt. Nun stehe ich als absoluter Laie doch ziemlich doof da. Was muss ich tun? Anbei die Meldungen meines Virenprogramms:

11.01.2005,12:41:45 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.SZ.2!
C:\WINDOWS\TEMP\MM.EXE
[INFO] Die Datei wurde gelöscht!
11.01.2005,12:42:05 [WARNUNG] Ist das Trojanische Pferd TR/WWBars.1!
C:\WINDOWS\TEMP\OV.EXE
11.01.2005,12:42:09 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.NK!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\087LL9ZK\PROTECTOR[1].EXE
11.01.2005,12:42:10 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Istbar.BY.4!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\087LL9ZK\SIDEFIND[1].EXE
11.01.2005,12:48:22 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Istbar.BY.4!
C:\WINDOWS\TEMP\SIDEFIND.EXE

Den ersten Virus habe ich noch über AntiVir gelöscht, die Trojaner habe ich erstmal stillgelegt, indem ich den Zugriff verweigert, die Dateien jedoch ansonsten dort belassen habe. Im Temp-Verzeichnis von Windows habe ich dann gleich mehrere neue Anwendungen gefunden. Die hab ich kurzerhand mal einfach gelöscht. Den AntiVir nochmal drüber laufen lassen und irgendwie findet der jetzt nichts mehr. Bin ich nun sauber, oder einfach nur zu leichtgläubig? Was muss ich tun? Hilfe erbeten!!!!

Gruß
jerrie

Poste bitte ein Logfile von HijackThis hier her

http://hijackthis.de/downloads/hijackthis_199.zip

Hallo,

also ich hab da mal so ein Logfile gemacht. Also ich kann da gar nichts raus lesen. Könnt Ihr mir helfen?

So sieht das Logfile aus:

Logfile of HijackThis v1.99.0
Scan saved at 15:37:09, on 11.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\smsss.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\lkbwnpk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\VIA\RAID\raid_tool.exe
D:\Programme\PowerPoint\Office\OSA.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetDrive\wdService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\User\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ENPF] C:\WINDOWS\lkbwnpk.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\lkbwnpk.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O4 - Startup: Office-Start.lnk = D:\Programme\PowerPoint\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: raid_tool.exe.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F35D2FD-3566-47B5-AD01-95B430902B90}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe
O23 - Service: WebDrive Service - Unknown - C:\Programme\NetDrive\wdService.exe

Übrigens: Meine Firewall wehrt dauernd den Versuch der Datei smsss.exe ab, die Adresse tommy.tommy97.net über das Port 3108 zu erreichen. Da hab ich wohl noch immer was in meinem Rechner. Bloß was? Hilfe!!!

Gruß
jerrie

Hallo,

ich habe schlechte Nachrichten,du hast den hier auf deinem Rechner:

http://www.sophos.de/virusinfo/analy...2forbotcq.html

und noch viele andere üble Sachen

Das heisst leider,dass du deinen Rechner neu machen musst,befolge dazu den folgenden Link http://www.trojaner-board.de/showpos...28&postcount=2

Les dir alles genau durch!

Gruss

Hallo,

woran kann man das erkennen und was sind das noch für andere üble Sachen?

Gruß
jerrie

Das erkennt man eben an den laufenden Prozessen,heisst bei dir sind einige,die da nicht hingehören.An manchen erkennt man eben sofort,was es für ein Schädling ist.Zudem hast du viel Spyware auf dem System.

Und da gibt es keine andere Lösung? Ist mein System denn wirklich so übel befallen? Kann das wegen meiner Sygate Firewall gar nicht verstehen. Was muss ich denn befürchten, wenn ich das System so belasse. Es läuft ja weiterhin.

Gruß
jerrie

@jerrie
Nein.
der hier
http://www.trendmicro.com/vinfo/viru...WORM_AGOBOT.MQ
ist hier versteckt,
C:\WINDOWS\System32\smsss.exe
die reichen schon aus um ein neue systemaufsetzung zu emfpehlen.
dein system ist kompromittiert, http://www.mathematik.uni-marburg.de...ompromise.html
d.h. jemand anderes hat die Kontrolle über dein rechner.
am besten sofort aus dem netz, und format c

sry
chaosman

@ jerrie

W32/Forbot-CQ:

# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Löscht Dateien vom Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit

einer der Gründe, warum Du Dein System möglichst bald formatieren solltest. Beachte den Rat von Lutz zur Datensicherung und halte Dich an diese (bereits gepostete) Anweisung von Cidre.