Hilfe! Win32/Henky.Tanzen, werde ihn nicht los
 

Hallo!

Mein Antivirusprogramm hat den Virus "Win32/Henky.Tanzen gefunden. Leider kann ich ihn nicht mit meinem Antivir-Programm entfernen, er ist nach jedem Löschversuch wieder da. Habe auch die Systemwiederherstellung deaktiviert und das Virusprogramm nochmal im abgesicherten Modus durchgezogen, doch gleich nach dem Neustart war er wieder da.

Was kann ich da machen?? Gibt es irgendeine Möglichkeit, das Ding endgültig loszuwerden, außer das System wieder neu zu installieren?

Guten Abend,

Tanzen ist ja eigentlich gar nicht so schlecht. ;)
Aber mal zur Sache: Poste bitte die vollständige Meldung des AntiViren-Programmes sowie Informationen über das von Dir verwendete Betriebssystem.

Hallo,

also, mein Betriebssystem ist Windows XP Professional SP 2.

Mein Antivirusprogramm meldet: Auf Ihrem PC wurde gefunden:

C:\WINDOWS\rdrive\bku.exe enthält Signatur des Windows-Virus:

W32/Henky.Tanzen

Wenn ich dann Löschen anklicke, kommt eine Fehlermeldung:

C:\WINDOWS\rdrive\bku.exe konnte nicht gefunden werden.

Es scheint auch meinen PC ziemlich lahmzulegen, kann nicht mehr richtig surfen...:heulen:

Das allerdings wäre jetzt meine geringste Sorge. Und zwar aufgrund der Eigenschaften dieses Schädlings:

TROJ_AGENT.EDR - Description and solution

Steht Dir ein Zweit-PC zur Verfügung, mit dem Du ins Internet gehen könntest?

Ich hab nur diesen PC.
Hab auch erst vor einer Woche den ganzen PC neu installieren müssen wegen einem anderen Virus. Trotz ZoneAlarm und Antivirusprogramm hab ich mir jetzt schon wieder sowas eingefangen...

Gibt es auch eine deutsche Anleitung, um diesen Virus wegzubekommen?

Vielen Dank für eure Hilfe!

Ich dreh's mal um: Wegen des Sich-Verlassens auf Programme, die nicht hinreichend vor Malware zu schützen vermögen, ist es zu der Infektion gekommen. Daher gleich einmal deutlich: Es müssen andere Schutzmaßnahmen getroffen werden, die von Dir verwendeten sind völlig unzureichend. Ich sage es deswegen so deutlich, um Dir weitere zukünftige Infektionen und die damit verbundenen Umstände zu ersparen - ich denke, das ist auch in Deinem Interesse. ;)

Mehr dazu ggf. gleich noch.

Nur ein Versuch der Erstmaßnahme (bitte danach das System nicht als sauber oder das Problem als "gelöst" betrachten!):

Lade Dir HijackThis:
HijackThis - bebilderte Anleitung

Öffne HijackThis bzw. starte das Programm, doch anstatt einen Systemscan durchzuführen, klick auf "Opfen the Misc Tools section". Wähle sodann im Bereich "System tools" -> "Open process manager". Such in der Auflistung nach dem Prozess C:\WINDOWS\rdrive\bku.exe, markiere ihn durch einfachen Linksklick und wähle "Kill process". Bestätige die Abfrage mit "Ja".

Such anschließend die Seite http://www.virustotal.com/ auf und prüf dort die Datei C:\WINDOWS\rdrive\bku.exe. Warte das Scanende ab, und poste anschließend die vollständige Ergebnisliste.

Danke erstmal für die schnelle Antwort!

Das klappt leider nicht. Dieser Prozess ist im Prozess Manager nicht zu finden...

Was kann ich stattdessen machen?

Versuch, ob die Virustotal-Prüfung auch so funktioniert.

Erstell bitte ergänzend ein LogFile gemäß dieser Anleitung und poste es hier:
http://www.trojaner-board.de/17493-a...ijackthis.html

Hallo Markus,

die Virustotal-Prüfung klappt auch nicht, die Datei wird nicht gefunden.

Grüße,

Lilly

Hier ist das LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 22:42:04, on 15.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svshost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Name\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB40D04F-A147-471B-B32C-95DB00404BD2}: NameServer = 82.144.41.8 62.220.18.8
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote WinDir Services - Unknown owner - C:\WINDOWS\system32\svshost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sieht insgesamt nicht gut aus, da Du bis dato mit dem SP1 für XP unterwegs warst.

Prüf bitte nun diese Datei bei Virustotal:
C:\WINDOWS\system32\svshost.exe

Poste hier die Ergebnisse. Nichts voreilig löschen!

Das Scanergebnis von Virustotal sieht folgendermaßen aus:

File svshost.exe received on 07.15.2007 22:53:47 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Loading server information...
Your file is queued in position: 3.
Estimated start time is between 52 and 75 seconds.
Do not close the window untill scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 Win32/IRCBot.worm.variant
AntiVir 7.4.0.42 2007.07.15 HEUR/Crypted
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 Win32:Ircbot-ATD
AVG 7.5.0.476 2007.07.15 no virus found
BitDefender 7.2 2007.07.15 Backdoor.SDBot.DESL
CAT-QuickHeal 9.00 2007.07.14 Backdoor.SdBot.awe
ClamAV devel-20070416 2007.07.15 Trojan.SdBot-6298
DrWeb 4.33 2007.07.15 BackDoor.IRC.Sdbot.1396
eSafe 7.0.15.0 2007.07.10 suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 Win32/Petribot.ALV
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.15 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.15 Backdoor.Win32.SdBot.awe
Kaspersky 4.0.2.24 2007.07.15 Backdoor.Win32.SdBot.awe
McAfee 5074 2007.07.13 New Malware.cs
Microsoft 1.2704 2007.07.15 no virus found
NOD32v2 2399 2007.07.14 IRC/SdBot
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.15 W32/Sdbot.KNV.worm
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.15 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.14 no virus found
VirusBuster 4.3.23:9 2007.07.15 Worm.SdBot.FTG
Webwasher-Gateway 6.0.1 2007.07.15 Heuristic.Crypted
Aditional information
File size: 66823 bytes
MD5: c448fb7fbd3da09c5ba36fc0d144ec0b
SHA1: 795ece48fb11e499cc4968672b4872cb98caf7bd
packers: eXPressor

Importante ATENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

Scan another file
VirusTotal © Hispasec Sistemas - Blog - Contacto: info@virustotal.com

Bitte wie folgt vorgehen:

A.) Datei C:\WINDOWS\system32\svshost.exe, wenn möglich, aus dem Systemverzeichnis kopieren und in ein Archiv packen wie hier unter Punkt 4.) beschrieben, dann als Anhang per Mail senden an virus@sicher-ins-netz.info (oder versuchen, die Datei direkt anzuhängen). Wenn es nicht klappt, melde Dich nochmal.

B.) Killbox laden: KillBox.Net

C.) Klick dort auf "Download KillBox" und speichere die dann geladene
Datei KillBox.exe in einem extra Ordner, den Du z.B. unter "Eigene
Dateien" neu anlegst. Diesen Ordner nennst Du z.B. "Analyse". Trenne die Internetverbindung.

D.) Führe "KillBox.exe" aus.

E.) Setze im sich öffnenden kleinen KillBox-Fenster den Punkt links auf
"Delete on Reboot".

F.) Jetzt wird rechts davon der Button "AllFiles" anklickbar. Klick darauf.

G.) Kopiere nun aus diesem Posting diese zwei Pfade (nicht mehr und
nicht weniger, nur diese zwei Zeilen, die hinter diesem Doppelpunkt folgen):

C:\WINDOWS\system32\svshost.exe
C:\WINDOWS\rdrive\bku.exe

H.) Wechsele wieder zum KillBox-Fenster. Klick darin oben links auf
"File", dann "Paste from Clipboard".

I.) Klick nun in KillBox ganz rechts außen auf den roten Kreis mit dem
weißen Kreuz.

J.) Es kommt nun die Frage, ob das System neu gestartet werden soll.
Bestätige mit "Ja".


Melde Dich nach dem Neustart mit einem sodann erstellten neuen HijackThis-Logfile wieder.

Hallo, vielen Dank!

Das neue LogFile sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 23:33:47, on 15.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MySpace\IM\MySpaceIM.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Heike\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?47f4e88708b743388318cb277c6eb496
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB40D04F-A147-471B-B32C-95DB00404BD2}: NameServer = 82.144.41.8 62.220.18.8
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote WinDir Services - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

So, die Erstmaßnahme hat zunächst gegriffen.
Hat der Dateiversand funktioniert?

Die Datei hab ich noch nicht versenden können, hab das nicht ganz verstanden...:confused:

Sorry, bin PC-technisch nicht so bewandert.

Was muss ich jetzt noch machen, damit der PC wieder sauber ist? Und welche Tipps würdest du mir geben, damit ich den PC in Zukunft besser schütze?

Liebe Grüße!

Drum schrieb ich doch:
Wenn es nicht klappt, melde Dich nochmal.

Nachfragen ist nicht schlimm!

Das ist ja, wie gesagt, nicht schlimm - hinzulernen kann man immer, und es kann jeder. :)

Das System wird neu aufgesetzt werden müssen. Es war aus meiner Sicht aber zunächst wichtig, zumindest die sichtbaren Schädlinge, soweit als möglich, zu "eliminieren".

Zunächst einmal ist die Basis wichtig: Du musst mit einem aktuellen System online gehen. Hast Du noch einen zweiten PC oder kennst Du jemanden, der über einen PC mit Internetzugang verfügt?

Könnte ich das auch von einem PC in einem Internet-Café machen?

Muss das System wirklich neu aufgesetzt werden??? Ich möchte das in jedem Fall vermeiden.

Danke nochmal!

Besser eher nicht.

Ja. Denn es handelt sich um einen Backdoor: Backdoor.Win32.SdBot.awe

Das glaube ich Dir. Du möchtest aber ganz sicher noch eher vermeiden, dass zukünftig Dritte Dein System kontrollieren und nicht mehr Du selbst. Lies dazu hier:

System nach Infektion neu aufsetzen

Ist das soweit verständlich? Wie gesagt: Bei Fragen, fragen!

Ist dieser Trojaner immer noch auf meinem System? Auch, wenn er vom Antivirusprogramm nicht mehr angezeigt wird?

Ein Neuaufsetzen scheint also unumgänglich. Dann sollte ich jetzt sicher wiedermal alle Passwörter ändern, oder?

Was kann ich denn machen, damit mir das danach nicht gleich wieder passiert?

Schalte temporär den Virenscanner aus. Schau dann mal in den Ordner C:\!KillBox. Welche Dateien befinden sich darin? Nichts weiter machen, nur in den Ordner hineinsehen und berichten.

In dem KillBox Ordner sind folgende Dateien:

-Logs
_svshost

Was kann man daraus erkennen?

Schließe den Ordner.

Setze dann erst einmal von dieser Seite Punkt 2.) um.

Wenn Du das gemacht hast, schau abermals in den Ordner - welche Endung hat die svshost-Datei in dem Order C:\!KillBox?

Die Datei hat die Endung .exe

Also: svshost.exe

Dieser eine Backdoor bzw. diese eine Schädlingsdatei befindet sich offensichtlich nicht mehr aktiv im System - im LogFile taucht er nicht mehr unter den aktiven Prozessen auf, eine 100%ige Garantie ist aber auch das nicht.

Das AntiViren-Programm ist auf dem Betriebssystem (Windows XP) installiert. Das Betriebssystem allerdings wurde durch einen Schädling (hier: einen Backdoor) in einen nicht mehr vertrauenswürdigen Zustand versetzt. Infolgedessen sind auch die Aussagen aller Diagnose- und Scanprogramme, einschließlich des Virenscanners, die auf dem System laufen, ebenfalls als nicht mehr vertrauenswürdig einzustufen.

Es ist aus meiner Sicht und in Verantwortung Dir gegenüber kein anderer Ratschlag möglich. Mir ist bewusst, dass es für jemanden, der sich nicht so gut mit dem PC auskennt, wie eine sehr hohe Hürde erscheinen muss, jetzt diesen Schritt zu gehen. Mir ist andererseits aber bewusst, dass es mittel- und langfristig nicht verantwortbar ist, jemanden mit einem nicht mehr vertrauenswürdigen System weitersurfen zu lassen.

Das heißt, beide Situationen wären nicht erfreulich. Nur die erstere schafft einen vernünftigen "neuen Anfang" für Dich, sodass Du wieder diejenige bist, die die Kontrolle über das System ausübt, und nicht Dir unbekannte Dritte.

Weshalb "wieder"? Hattest Du schon öfter Probleme mit Schädlingen (Malware)? Nein, jetzt macht es keinen Sinn, von diesem System aus etwas zu ändern, denn es befindet sich ja noch immer in dem nicht vertrauenswürdigen Zustand. Allerdings: Die Passwörter sollten möglichst schnell von einem sauberen System aus geändert werden - spätestens nach dem Neuaufsetzen von Deinem aus.

Am besten wäre es, wenn Du eine CD mit den notwendigen Installationskomponenten zur Verfügung hättest. Wenigstens sollte dort das SP2 für Windows XP drauf sein und eine Patchsammlung, die jeweils vor der ersten Internetverbindung installiert werden.

Soweit erstmal zu dieser Stunde
Wenn's Fragen gibt
Frag in die Runde! ;)

Gut - öffne das Mailprogramm oder logg Dich via Webmail ein. Erstell eine neue Mail und wähle aus der Mail heraus aus, dass die Datei svshost.exe aus dem Ordner C:\!Killbox der Mail angehängt werden soll. Sende die Mail dann an virus@sicher-ins-netz.info - ist das soweit verständlich? Falls nicht, frag nach!

Gut, ich werde dann mal das Neuaufsetzen des Systems in Angriff nehmen. Dazu noch eine Frage: Was ist mit der Patchsammlung, die vor der Installation installiert werden soll, gemeint?

Ja, ich hatte erst vor einer Woche von jemandem das System neu aufsetzen lassen. Deshalb bin ich so geschockt, dass es mir schon wieder passiert ist, trotz ZoneAlarm u. Antivir und obwohl ich mit Mozilla surfe.

Ich danke dir trotzdem ganz herzlich für deine geduldige Hilfe und deine schnellen Antworten!!!!!! VIELEN DANK :) Es ist wirklich super, dass du hier PC-Laien wie mir so nett hilfst.

Liebe Grüße und gute Nacht!

Das mit dem Versenden der Datei hat leider nicht geklappt. Ich könnte nur die KillBox.exe-Datei versenden, nicht aber svshost.exe.

Wie kann ich das sonst machen?

Woran scheitert es im Detail? Beschreibe das Problem genauer!

Das halte ich für eine gute Entscheidung.

Diese hier: WinFuture.de - Update Pack für Windows XP und Windows Vista
Du brauchst die Vollversion für Windows XP.

Zuvor muss aber das SP2 für XP installiert werden:
Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler

Die oben genannte Patchsammlung wird erst "obendrauf" installiert.

Wenn es ein Privatmensch war, der helfen wollte, ok. Er oder sie hat es zwar nicht richtig gemacht, woraus nun indirekt wieder die Infektion resultierte, aber er war wenigstens hilfsbereit. Das ist trotz allem zu honorieren. War es jeoch jemand z.B. im PC-Geschäft oder jemand Vergleichbares, und Du hast dafür bezahlt, dann lass Dir das Geld dafür erstatten - das Neuaufsetzen wäre dann als "schlampig ausgeführt" zu beurteilen.

Welche der beiden Varianten trifft zu?

OK, für den Anfang: Streich erstmal ZoneAlarm, AntiVir und auch Mozilla als mögliche "Schutzfaktoren" aus dem Kopf. In diesem Fall ist der Verursacher sehr wahrscheinlich ein Netzwerkwurm - dieser verbreitet sich auf einem Wege, der mit dem Surfen über den Browser (hier: Mozilla) gar nichts zu tun hat.

Beispiel: Du gehst bei Regen auf einem Gehweg entlang und trägst einen aufgespannten Regenschirm, der den gröbsten Regen von oben abfängt. Nun aber trittst Du in eine tiefe Pfütze, bekommst nasse Füße und fragst dann: "Mist, warum bin ich nass geworden, ich habe doch einen Regenschirm?"

Heißt also: Das "Wasser", das Dich hier ärgert, kam aus einer ganz anderen Richtung. Deswegen ist es für diesen speziellen Infektionsfall irrelevant, welchen Browser Du verwendet hast.

Hier eine Erklärung zu Netzwerkwürmern:
Netzwerk-Würmer Agobot, Rbot, Spybot, SdBot - Maßnahmen zu Schutz und Entfernung

Danke für Dein Feedback!
Die Hilfestellungen sollen eine gewisse Nachhaltigkeit zur Folge haben, das heißt: Dass Du in die Lage versetzt wirst, die notwendigen, grundlegenden Dinge selbst zu kontrollieren, sodass es nicht mehr so leicht zu Infektionen kommt. Ich kann Dir schon mal sagen: Es ist einfacher, als viele denken, einfacher, als Menschen denken, die sich (noch) nicht so gut damit auskennen. Die größte Hürde ist eigentlich nur das Denken, dass es vermeintlich zu schwierig wäre - sowas "blockiert" dann eher.

Also, nur Mut! ;)

Hier nochmal zum LogFile:
Die entscheidenden Punkte habe ich in Fettschrift markiert. Das ist damit gemeint, wenn man sagt, das System befindet sich nicht auf dem aktuellsten Stand.

Im Gegenteil, es befindet sich auf dem Stand von vor Jahren. Es wurde zwar gerade erst neu aufgesetzt, dabei wurde jedoch versäumt, aktuellere, frei als Updates verfügbare Softwarekomponenten, nachzurüsten. Ich betone abermals: Dieses Nachrüsten muss vor der ersten Internetverbindung bereits umgesetzt sein. Es reicht hingegen nicht aus, dies gleich sofort nach der ersten Verbindung durchzuführen.

Übrigens: Dass ich geschrieben habe, den Mozilla als Sicherheitskomponente gedanklich zu streichen, bedeutet nun im Umkehrschluss nicht, dass Du jetzt den Internet Explorer verwenden sollst - ich wollte nur deutlich machen, dass es zunächst einer gesunden Basis, eines soliden Fundaments bedarf, auf das dann letztlich alles andere aufgebaut wird - wie auch bei einem Hausneubau.

Also:

- Windows XP
- Service-Pack 2
- Patches / Update-Pack für Windows XP SP2
- Mozilla Firefox oder Opera zum Surfen im Netz
- z.B. Mozilla Thunderbird oder Opera zum Mailen
- Java in Version 6: -> http://www.trojaner-board.de/105213-java-update-einstellungen.html]Java SE Downloads[/url]
Download -> Java Runtime Environment (JRE) 6u2, "Windows Offline Installation, Multi-language"

Das alles offline installieren - vor der ersten Internetverbindung. Und bitte zunächst kein anderes Gedöhns, das das System belastet oder gleich schon wieder unnötig überfrachtet oder vollmüllt.

Wenn das installierst ist, gehst Du das erste Mal online. Als allererstes rufst Du dann mit dem Firefox den Secunia Software Inspector auf. Das geht so:

Prüfung installierter Software auf Aktualität: Secunia Software Insepector

Führe diese Analyse durch und warte das Ergebnis ab. Wenn es vorliegt, wechsele ins Trojaner-Board und berichte hier in diesem Thread detailliert über die Ergebnisse - insbesondere die Komponenten, die rot gekennzeichnet wurden, sind von Interesse.

Danach kannst Du Dir dann z.B. auch AntiVir laden und installieren. ZoneAlarm hingegen darf "draußen bleiben".

Und noch etwas zu der Datei svshost.exe: Sie ist deswegen von Interesse, damit man nachprüfen kann, ob es sich wirklich 100%ig um den Verbreitungsweg handelt, den ich Dir nannte. Das jedoch geht am besten, wenn man sie vorliegen hat, dann braucht man nicht zu spekulieren. Daher wäre es sehr von Vorteil, wenn es Dir gelingen würde, sie via Mail zu versenden bzw. zu erläutern, woran genau es hängt, dass ein Verschicken nicht funktioniert.

Danke für die ganzen Infos!!!! :)

Mein Problem beim Versand der Datei ist, dass ich die svshost.exe-Datei nicht einzeln anhängen kann, nur die ganze KillBox-Datei.

Die Schritte zur Neuinstallation hab ich mir gleich notiert und werde es diesmal selbst probieren. Vor einer Woche hatte das ein Bekannter gemacht. Eine Frage habe ich dazu noch: Ist es nicht besser, dass Antivir schon vor der ersten Internetverbindung zu installieren?

Du meinst den Ordner, oder? Welches E-Mail-Programm verwendest Du?

Das ist kein schlechter Entschluss - wenn Du gut vorbereitet bist, schaffst Du das auch. Zusatzfrage: Weißt Du, welche Treiber Du für Deine Hardware noch benötigst?

OK, in Ordnung, dann wusste er es einfach nicht besser. Aber wie gesagt, das soll kein Vorwurf sein, denn er hat es ja sicher gemacht, um Dir behilflich zu sein. Betrachte es schlichtweg als Feststellung, dass die Vorgehensweise in diesem Fall nicht die richtige bzw. notwendige war.

Wenn Du so vorgehst, wie ich es beschrieben habe, dann nein. Wie gesagt, die notwendigen Schutzmaßnahmen in diesem Fall sind ganz andere (siehe dazu das Regenschirm-Beispiel). Du solltest natürlich nicht von der Anleitung abweichen, und evtl. erstmal im Internet auf allen möglichen Seiten surfen, bevor die Maßnahmen abgeschlossen sind. ;)

Ich werde mich da lieber strikt an deine Anleitung halten.

Aber, wie kann ich rausfinden, welche Treiber ich benötige? Und wenn ich die jeweiligen Treiber nicht mehr auf CD habe, wie kann ich sie am besten vorher kopieren?

Sorry, wegen der blöden Fragen...

Ich benutze übrigens Outlook, werde nach der System-Neuinstallation auch auf Thunderbird umsteigen. Jedenfalls kann ich nur den Ordner KillBox anhängen, nicht die einzelne Datei svshost.exe.

Liebe Grüße!

jetzt hat es auch meinen Rechner erwischt,
kann mir bitte einer von euch helfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:43:41, on 01.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\svshost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOL\1185903638\ee\aolsoftware.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\THOMAS~1.COM\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C887F20-946C-4B2C-9592-58AAACB0EF1F} - (no file)
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {733DD360-2CE2-4A97-88D1-E4EDC1A60767} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: H - {A5D506DF-EF88-44db-917C-E56FF9E2A4FD} - C:\WINDOWS\System32\sours.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gilsoh.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1185903638\ee\AOLSoftware.exe
O4 - HKCU\..\Run: [xset] C:\WINDOWS\System32\xset\chdicg.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://vxiframe.biz//adverts//013//targ.chm::/win32.exe
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.212/counter/new/x.chm::/update.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-36.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/photo_activex/PhotoUploader.CAB
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4861/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{667B9295-519B-4A03-A033-A485B15B49FF}: NameServer = 213.191.92.87 213.191.74.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D815EB7-B85B-4691-8105-0BC8C80D76D5}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{8066DDA4-E041-4615-A40B-E4395DFB3397}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{81CBFD9B-8CCA-40F4-BE60-3D9E7EC2AA94}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{04E171BE-E898-40FF-B91D-2E5F6CA2B3AD}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter hijack: text/html - {80333139-1185-4F6E-BE5C-D32ACE617348} - (no file)
O18 - Filter: text/plain - {80333139-1185-4F6E-BE5C-D32ACE617348} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: gbrftrdkr v0pwj9uywmm - Unknown owner - C:\WINDOWS\system32\svshost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe

--
End of file - 9480 bytes

Wo ist SP2!?!?!?!?

Hallo,

@max1
Bei einem beinahe vollkommen ungepatchten Betriebssystem ist es die beste Entscheidung, sofort Neuaufzusetzen.
Das Bereinigen würde hier mehr Zeit in Anspruch nehmen, als das Neuaufsetzen.
Hoffentlich hast du auch ein Backup von einem virenfreien Systemstatus ;)

MFG,
Arion

PS: Zukünftig öffne lieber einen neuen Thread!

Damit hast du all die Würmer auf deinen PC eingeladen. :headbang: Ein ungeschützter PC überlebt keine 4 Minuten im Internet! Ändere das, indem du deine Platte formatierst, den Rechner neuaufsetzt und SP2 offline einspielst!
Das sind ALLES schädliche Einträge! Die jeweiligen Würmer sind unter Anderen Rootkits, Backdoors, viele Backdoors und noch mehr Backdoors. Dein System wird schon lange nicht mehr von dir kontrolliert, da die meisten Würmer auf deinem Rechner bereits seit 2005 im Umlauf sind, möchte ich auch gar nicht so genau wissen, wie lange dein Rechner schon für andere Zwecke mißbraucht wird.

Bitte befolge den Link zum Neuaufsetzen genau! Dann hast du ne Chance in Zukunft weniger Ärger am Hals zu haben.

lg myrtille

hehe die hat der gesammelt :D
Aber sogar ohne SP1:headbang: :headbang: :headbang: