Verschiedene Viren und Trojaner auf dem pc!!Was nun??
 

Ich habe gestern Antivir mal meinen pc überprüfen lassen und er fand verschiedene Trojaner und Viren. Was soll ich jetzt machen??
Kann mir einer helfen??

deine aussagen sind sehr dürftig.
Poste ein hijackthis-logfile
www.trojaner-board.de/showthread.php?t=17493

Vorgehensweise zur Schädlingsbekämpfung
 

Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.

Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Eine Anleitung findest du hier http://www.trojaner-board.de/showthread.php?t=16918.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du hier:

Danke für die Tipps .
Hier meine Hijackthis file:

Logfile of HijackThis v1.99.1
Scan saved at 14:26:47, on 16.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Eigene Dateien\Netscp.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Dokumente und Einstellungen\Cornholio\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://www.t-online.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VolumeCounter] "D:\Volumenzaehler\BoVolume.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Eigene Dateien\Netscp.exe" -turbo
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124028348531
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B5A7A1D-6F16-47F9-BC35-8CE8BAAC5281}: NameServer = 217.237.150.97 217.237.150.225
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo Mc_rasta

wenn du uns noch die Namen von den Funden und wo sie sich befinden, mitgeteilt hättest würde manches vielleicht leichter :(
Im Logfile kann ich erst mal nichts sehen, also mache einen eScan (siehe meine Signatur)

So heir ist die escan file .Sry das das so lange gedauert hat.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Aug 17 15:10:59 2005 => System found infected with VX2 Spyware/Adware ({92daf5c1-2135-4e0c-b7a0-259abfcd3904})! Action taken: No Action Taken.
Wed Aug 17 15:10:59 2005 => System found infected with VX2 Spyware/Adware ({bb0d5adc-028d-4185-9288-722ddce2c757})! Action taken: No Action Taken.
Wed Aug 17 15:10:59 2005 => System found infected with BetterInternet Spyware/Adware (ceresdll.ceresdllobj)! Action taken: No Action Taken.
Wed Aug 17 15:11:23 2005 => System found infected with farmmext Spyware/Adware (farmmext.ini)! Action taken: No Action Taken.
Wed Aug 17 15:11:23 2005 => System found infected with farmmext Spyware/Adware (farmmext.inf)! Action taken: No Action Taken.
Wed Aug 17 15:29:08 2005 => Scanning File C:\Dokumente und Einstellungen\Die Fische tummeln\Eigene Dateien\Eigene Musik\Bad Religion\Stranger than fiction\07 - Infected.mp3
Wed Aug 17 16:06:24 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Aug 17 16:06:24 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED(2)\*.*
Wed Aug 17 16:06:24 2005 => Scanning File C:\Programme\AVPersonal\INFECTED(2)\kkbniju.VIR
Wed Aug 17 16:06:24 2005 => File C:\Programme\AVPersonal\INFECTED(2)\kkbniju.VIR infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
Wed Aug 17 16:06:24 2005 => Scanning File C:\Programme\AVPersonal\INFECTED(2)\Nail.VIR
Wed Aug 17 16:06:24 2005 => File C:\Programme\AVPersonal\INFECTED(2)\Nail.VIR tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Wed Aug 17 16:47:03 2005 => Total Disinfected Files: 0
Thu Aug 18 05:33:48 2005 => System found infected with VX2 Spyware/Adware ({92daf5c1-2135-4e0c-b7a0-259abfcd3904})! Action taken: No Action Taken.
Thu Aug 18 05:33:48 2005 => System found infected with VX2 Spyware/Adware ({bb0d5adc-028d-4185-9288-722ddce2c757})! Action taken: No Action Taken.
Thu Aug 18 05:33:49 2005 => System found infected with BetterInternet Spyware/Adware (ceresdll.ceresdllobj)! Action taken: No Action Taken.
Thu Aug 18 05:34:14 2005 => System found infected with farmmext Spyware/Adware (farmmext.ini)! Action taken: No Action Taken.
Thu Aug 18 05:34:14 2005 => System found infected with farmmext Spyware/Adware (farmmext.inf)! Action taken: No Action Taken.
Thu Aug 18 05:52:09 2005 => Scanning File C:\Dokumente und Einstellungen\Die Fische tummeln\Eigene Dateien\Eigene Musik\Bad Religion\Stranger than fiction\07 - Infected.mp3
Thu Aug 18 06:29:39 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Aug 18 06:29:39 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED(2)\*.*
Thu Aug 18 06:29:39 2005 => Scanning File C:\Programme\AVPersonal\INFECTED(2)\kkbniju.VIR
Thu Aug 18 06:29:39 2005 => File C:\Programme\AVPersonal\INFECTED(2)\kkbniju.VIR infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
Thu Aug 18 06:29:39 2005 => Scanning File C:\Programme\AVPersonal\INFECTED(2)\Nail.VIR
Thu Aug 18 06:29:40 2005 => File C:\Programme\AVPersonal\INFECTED(2)\Nail.VIR tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Thu Aug 18 07:15:39 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Aug 17 15:12:47 2005 => File C:\Dokumente und Einstellungen\Aqif\Lokale Einstellungen\Temp\-1.exe tagged as "not-a-virus:AdWare.Sahat.m". Action Taken: No Action Taken.
Wed Aug 17 15:17:40 2005 => File C:\Dokumente und Einstellungen\Cornholio\Eigene Dateien\hijackthis\backups\backup-20050722-004300-753.dll tagged as "not-a-virus:AdWare.BetterInternet.d". Action Taken: No Action Taken.
Wed Aug 17 15:17:40 2005 => File C:\Dokumente und Einstellungen\Cornholio\Eigene Dateien\hijackthis\backups\backup-20050724-051126-883.dll tagged as "not-a-virus:AdWare.SafeSurfing.e". Action Taken: No Action Taken.
Wed Aug 17 15:17:40 2005 => File C:\Dokumente und Einstellungen\Cornholio\Eigene Dateien\hijackthis\backups\backup-20050724-051242-860.dll tagged as "not-a-virus:AdWare.Beginto.c". Action Taken: No Action Taken.
Wed Aug 17 15:31:19 2005 => File C:\Dokumente und Einstellungen\Teuta\Lokale Einstellungen\Temp\DrTemp\ceres.dll tagged as "not-a-virus:AdWare.BetterInternet.d". Action Taken: No Action Taken.
Wed Aug 17 15:32:23 2005 => File C:\Dokumente und Einstellungen\Teuta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPDEFITG\thin-94-1-x-x[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Wed Aug 17 16:06:24 2005 => File C:\Programme\AVPersonal\INFECTED(2)\Nail.VIR tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Thu Aug 18 05:35:38 2005 => File C:\Dokumente und Einstellungen\Aqif\Lokale Einstellungen\Temp\-1.exe tagged as "not-a-virus:AdWare.Sahat.m". Action Taken: No Action Taken.
Thu Aug 18 05:40:31 2005 => File C:\Dokumente und Einstellungen\Cornholio\Eigene Dateien\hijackthis\backups\backup-20050722-004300-753.dll tagged as "not-a-virus:AdWare.BetterInternet.d". Action Taken: No Action Taken.
Thu Aug 18 05:40:32 2005 => File C:\Dokumente und Einstellungen\Cornholio\Eigene Dateien\hijackthis\backups\backup-20050724-051126-883.dll tagged as "not-a-virus:AdWare.SafeSurfing.e". Action Taken: No Action Taken.
Thu Aug 18 05:40:32 2005 => File C:\Dokumente und Einstellungen\Cornholio\Eigene Dateien\hijackthis\backups\backup-20050724-051242-860.dll tagged as "not-a-virus:AdWare.Beginto.c". Action Taken: No Action Taken.
Thu Aug 18 05:54:21 2005 => File C:\Dokumente und Einstellungen\Teuta\Lokale Einstellungen\Temp\DrTemp\ceres.dll tagged as "not-a-virus:AdWare.BetterInternet.d". Action Taken: No Action Taken.
Thu Aug 18 05:55:25 2005 => File C:\Dokumente und Einstellungen\Teuta\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPDEFITG\thin-94-1-x-x[1].exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Thu Aug 18 06:29:40 2005 => File C:\Programme\AVPersonal\INFECTED(2)\Nail.VIR tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Thu Aug 18 07:10:39 2005 => File C:\WINDOWS\system32\2b3fsk0h.dll tagged as "not-a-virus:AdWare.Sahat.l". Action Taken: No Action Taken.
Thu Aug 18 07:10:39 2005 => File C:\WINDOWS\system32\70tovmto.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
Thu Aug 18 07:13:04 2005 => File C:\WINDOWS\system32\gah95on6.exe tagged as "not-a-virus:AdWare.Sahat.o". Action Taken: No Action Taken.
Thu Aug 18 07:14:25 2005 => File C:\WINDOWS\system32\rtneg3.dll tagged as "not-a-virus:AdWare.Beginto.c". Action Taken: No Action Taken.
Thu Aug 18 07:14:49 2005 => File C:\WINDOWS\system32\thin-94-5-x-x.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Wed Aug 17 16:47:03 2005 => Total Virus(es) Found: 16
Thu Aug 18 07:15:39 2005 => Total Virus(es) Found: 21
Wed Aug 17 16:47:03 2005 => Total Errors: 77
Thu Aug 18 07:15:39 2005 => Total Errors: 78
Wed Aug 17 16:47:03 2005 => Time Elapsed: 01:36:37
Thu Aug 18 07:15:39 2005 => Time Elapsed: 02:04:40
Wed Aug 17 16:47:03 2005 => Total Objects Scanned: 92543
Thu Aug 18 07:15:39 2005 => Total Objects Scanned: 98460
Wed Aug 17 15:09:50 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 16:47:03 2005 => Virus Database Date: 2005/08/17
Wed Aug 17 16:47:41 2005 => Virus Database Date: 2005/08/17
Thu Aug 18 05:10:42 2005 => Virus Database Date: 2005/08/18
Thu Aug 18 07:15:39 2005 => Virus Database Date: 2005/08/18
Thu Aug 18 15:02:58 2005 => Virus Database Date: 2005/08/18
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hallo Mc_rasta

Deaktiviere die Systemwiederherstellung
Lade ClearProg = =>Haken setzen bei alles löschen und auf ok.
Leere den Quarantäneordner von Antivir
Lade Dir Spybot-S&D und Ad-Aware und update beide Programme.
da es Spuren von Nail gibt solltest du das dort bechriebene Tool anwenden http://forum.hijackthis.de/showthread.php?t=3172


Lösche auch das Logfile von eScan und die eScan_neu.txt.
--> boote in den abgesicherter Modus , und scanne jetzt nacheinander mit Spybot und Ad-aware und lösche alle Funde, danach scannst du nochmal mit escan, teile uns das Ergebnis wieder mit Hilfe der Find.bat mit. Dann sollte der Fisch eigentlich gegessen sein.Poste auch abschliessend ein aktuelles HJT